SSSD: Как заставить пользователей в разных группах использовать разные оболочки

У меня есть Active Directory, работающий как поставщик идентификатора, доступа и аутентификации для моих серверов CentOS 7 с использованием sssd. Я следовал этомупочтадля того, чтобы пользователи из разных групп использовали разные оболочки при входе, но у меня есть некоторые проблемы. Вот мой sssd.confфайл:

[sssd]
domains = dev, domain.local
config_file_version = 2
services = nss, pam

[nss]
default_shell = /bin/bash

[domain/dev]
ad_domain = domain.local
krb5_realm = DOMAIN.LOCAL
ad_server = adserver.domain.local
id_provider = ad
access_provider = ad
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
override_shell = /bin/tcsh
ldap_user_search_base = cn=dev,ou=Security Groups,ou=Domain,dc=domain,dc=local #According to sssd-ldap man page ldap_user_search_filter is deprecated


[domain/domain.local]
ad_server = adserver.domain.local
ad_domain = domain.local
krb5_realm = DOMAIN.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad

Идея в том, что когда кто-то из группы dev входит в систему, оболочка будет tcsh, а когда входит кто-то другой, он использует bash. Проблема в том, что с этой конфигурацией я могу успешно войти в систему с помощью Smith, члена группы dev, и он успешно попадает в tcsh, но если я войду в систему с помощью John, также члена домена, но не члена dev, произойдет следующее:

• При проверке /var/log/secureя получаю сначала ошибку аутентификации от pam_unix, а затем успех от pam_sss
• Первый пользователь входит как johnи получает свою оболочку как tcsh (хотя это должен быть bash). Второй пользователь входит как [email protected]и получает bash. Третий пользователь входит снова как johnи теперь он получает правильную оболочку (bash)

Видимо, sssd после проверки второго домена с FQDN кэширует оболочку пользователя и при третьем входе делает это правильно.
Какая правильная конфигурация для входа каждого пользователя в соответствующую оболочку?

ОБНОВЛЯТЬ:
Похоже, что иногда процесс входа проходит только через модули pam, а иногда через политики GPO sssd, взятые из Active Directory. Я пробовал отключать фильтр и перезапускать sssd несколько раз, и в одном из них я получил это в журнале:

Aug 28 15:42:43 co-proy-02 sssd[be[dev.domain.local]]: Warning: user would have been denied GPO-based logon access if the ad_gpo_access_control option were set to enforcing mode.

При отключенном фильтре пользователь Smithиз devгрупп успешно получает tcsh, но также и john. При включенном фильтре оба получают bash.

ОБНОВЛЕНИЕ2
Видимо, есть пакет с именем sssd-tools, в котором есть команда, которая позволяет вам переопределить оболочку любого отдельного пользователя, однако, после попытки этого решения я все еще не получаю соответствующего результата. Вот команда, но, по крайней мере, для меня, она не работает так, как должна:
sss_override user-add smith -s /usr/bin/sh