Depois de algumas semanas, finalmente encontrei a solução certa! Eu percebi que o problema estava na sincronização do grupo, então a configuração correta para a sincronização do grupo deve se parecer com a próxima para a configuração do FreeIPA:
ldap.group.baseDn=cn=groups,cn=compat,dc=company,dc=com
ldap.group.request=(&(objectClass=posixGroup)(memberUid={uid}))
ldap.group.idAttribute=cn
A diferença está em cn = groups, cn = compat , dc = empresa, dc = com.
Você não pode usar memberUid
filter com cn=accounts
, na verdade, mas não encontrará uids
de usuários.