Gal kas susidūrėt?

Ar esate kas nors sukonfigūravę, kad prie fortigate SSL VPN galėtų 
prisijungti AD grupė?

Ten sukonfiguruojami LDAP serveriai, kuriuose nurodomi OU, jei tam OU yra 
user, viskas OK, jungtis leidžiama,
bet yra noras, kad OU nariai liktų savo vietose, sukuriamas OU su grupe 
vartotojų
ir visi grupės vartotojai galėtų prisijungti prie VPN.

Užsiknisau, dokumentacijoje nurodyta, kad galima įjungti net nested groups, 
t.y. LDAP užklausa ieškos ir grupėje esančios grupės narių, bet niekaip 
nepadarau, kad tiesiog grupėje patikrintų.

Įdedu į OU save ir grupę, kurioje esu. OK, autentikuoja, bet jeigu save 
perkeliu į kitą OU (lieka grupė, kurioje esu), autentikacija nepraeina.
Debuge netgi matau, kad joks searchas į grupę neina, nors nested grupių 
pavyzdyje dokumentacijoje turi lįsti į grupę, po to į grupės grupę.

Pasidalinkite sėkmės istorijom.