O filtro ldap que fará como você descreve (impede o acesso de usuários com localização definida para qualquer um desses valores) é:
ldap_access_filter = (!(|(location=secure)(location=sysadm)))
Atualmente, estou usando o sssd.conf para permitir login apenas para usuários do ldap que estejam em um grupo específico.
Gostaria de fazer o contrário e o DENY login com base na participação em um grupo de um usuário, permitindo que todos os outros usuários que NÃO são membros do grupo façam login.
Isso é possível? Minha configuração atual que ALLOWS baseado no grupo se parece com isso
access provider = ldap
ldap_access_filter = (|(location=secure)(location=sysadm))
Eu gostaria basicamente de fazer algo como abaixo (local diferente de)
ldap_access_filter != (|(location=secure)(location=sysadm))