Как игнорировать / отбрасывать группы AD в FreeIPA

У меня есть тестовый экземпляр FreeIPA версии 4.6.4, установленный на CentOS 7 из репозитория по умолчанию дистрибутива. У меня настроено одностороннее доверие к развертыванию Active Directory. На стороне клиента я установил и настроил пакет freeipa-client версии 4.7.0 в Ubuntu 18.04. Это все в основном работает как рекламируется в соответствии с документами.

Однако, когда я вхожу в клиент с учетной записью AD и запускаю id Команда, я вижу все мои группы AD в списке. Есть ли способ заставить FreeIPA полностью игнорировать все группы из AD при работе с внешними пользователями? Конечная цель (и дайте мне знать, если это выходит за рамки возможностей FreeIPA) - игнорировать / отбрасывать все группы в AD и управлять пользователями, а не группами в FreeIPA.

Я попробовал добавить одну из этих опций в раздел домена sssd.conf на сервере FreeIPA, но они не имели никакого эффекта, и я подозреваю, что не до конца понимаю, для чего они:

ignore_group_members = True
subdomain_inherit = ignore_group_members

Спасибо за любой совет, даже если это "эй, не делай этого".