SSSD: как заставить пользователей в разных группах использовать разные оболочки

У меня есть Active Directory, работающая в качестве провайдера id, access и auth для моих серверов CentOS 7 с использованием sssd. Я следил за этим постом, чтобы пользователи из разных групп использовали разные оболочки при входе в систему, но у меня есть некоторые проблемы. Вот мой sssd.conf файл:

[sssd]
domains = dev, domain.local
config_file_version = 2
services = nss, pam

[nss]
default_shell = /bin/bash

[domain/dev]
ad_domain = domain.local
krb5_realm = DOMAIN.LOCAL
ad_server = adserver.domain.local
id_provider = ad
access_provider = ad
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
override_shell = /bin/tcsh
ldap_user_search_base = cn=dev,ou=Security Groups,ou=Domain,dc=domain,dc=local #According to sssd-ldap man page ldap_user_search_filter is deprecated


[domain/domain.local]
ad_server = adserver.domain.local
ad_domain = domain.local
krb5_realm = DOMAIN.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad

Идея заключается в том, что когда кто-то из групп разработчиков входит в систему, оболочкой будет tcsh, а когда некоторые другие народные логины будут использовать bash. Проблема в том, что с этим conf я могу успешно войти в систему с помощью Smith, члена dev-группы, и он успешно попадает в tcsh, но если я захожу с John, членом также домена, но не членом dev, происходит следующее:

• Обзор /var/log/secure Сначала я получаю ошибку аутентификации от pam_unix, а затем от pam_sss
• Первый пользователь входит как john и получить его оболочку как tcsh (хотя это должен быть bash). Во-вторых, пользователь входит в систему как john@domain.local и получает удар. В-третьих, пользователь снова входит в систему как john и теперь он получает правильную оболочку (bash)

По-видимому, sssd после проверки второго домена с полным доменным именем кэширует оболочку пользователя и при третьем входе делает это правильно.
Какова правильная конфигурация для входа каждого пользователя в его соответствующую оболочку?

ОБНОВЛЕНИЕ:
Похоже, что иногда процесс входа в систему проходит только через модули pam, а иногда через политики sssd GPO, взятые из активного каталога. Я попытался отключить фильтр и перезапустить sssd несколько раз, и в одном из них я получил их в журнале:

Aug 28 15:42:43 co-proy-02 sssd[be[dev.domain.local]]: Warning: user would have been denied GPO-based logon access if the ad_gpo_access_control option were set to enforcing mode.

С отключенным фильтром пользователя Smith от dev группы успешно получает tcsh, но также делает john, С включенным фильтром оба получают bash.

UPDATE2
Видимо, есть пакет с именем sssd-tools в которой есть команда, которая позволит вам переопределить оболочку любого отдельного пользователя, однако, после пробного решения, я все равно не получу подходящего результата. Вот команда, но, по крайней мере, для меня, она не работает должным образом:
sss_override user-add smith -s /usr/bin/sh