Contexto: Temos um Ubuntu 12.04 com autenticação feita em um servidor ldap.
Infelizmente, um usuário (ldap) pertence a um grupo (ldap) chamado "admin".
Eu sei que há a opção nss_initgroups_ignoreusers para listar os usuários que eu não quero que sejam procurados no ldap. Mas não encontrei nenhum equivalente para grupos.
Como eu poderia especificar grupos de ldap para não serem usados nesta instalação?
A única maneira que conheço é incluir um filtro com sua entrada nss_base_group . Dependendo da estrutura de grupo que você está usando, talvez seja necessário substituir cn por gid ou outra coisa. Talvez seja necessário alterar a base e o escopo da pesquisa, dependendo do sistema.
nss_base_group ou=groups,dc=example,dc=com?one?(!(cn=admin))