免責事項：これは英文の記事「TMC-SM Nested Group user can not view the object when using Pinniped ActiveDirectory」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

PinnipedとActive Directory（AD）フェデレーションを設定したTanzu Mission Control Self-Managed（TMC-SM）環境において、ネストされたADグループに所属するユーザー（User-B）は認証（ログイン）に成功するものの、他のユーザー（User-Aなど）が作成したオブジェクト（例: クラスタ）を表示できません。

Active Directoryに以下の2名のユーザーが登録されているとします。

• User-A (所属グループ: tmc-admin)
• User-B (所属グループ: tmc-admin/nested-group)

両ユーザーとも TMC-SM へのログインは成功しますが、User-B は tmc-admin のサブグループに所属しているにも関わらず User-A のオブジェクトを閲覧できません。
これはグループマッピングまたは認可が正しく行われていないことを示しています。

All TMC-SM versions

Pinniped の LDAP 設定におけるデフォルトの groupSearchFilter が、ネストされた Active Directory グループのメンバーシップを再帰的に検索しないためです。

この結果、ネストされたグループのユーザーは親グループ（例: tmc-admin）のメンバーとして正しく認識されず、認可の失敗やロールマッピングのエラーが発生します。

ldap.groupSearchFilter を再帰的なグループ検索が可能な形式に更新する。

1. Workload Cluster の Kubernetes コンテキストへ切り替え

kubectl config use-context <WORKLOAD CLUSTER CONTEXT>

2. values.yaml をエクスポート

kubectl -n tmc-local get secret tanzu-mission-control-tmc-local-values -ojsonpath='{.data.values\.yaml}' | base64 -d > values.yaml

3. groupSearchFilter を修正

   groupSearchFilter: (&(objectClass=group)(member:1.2.840.113556.1.4.1941:={}))

Note: OID 1.2.840.113556.1.4.1941（LDAP_MATCHING_RULE_IN_CHAIN）は、ネストされたグループを含む再帰的なメンバーシップ解決を可能にする Active Directory の拡張機能

4. 修正後の values.yaml を適用

tanzu package installed update tanzu-mission-control -p tmc.tanzu.vmware.com --version <package-version>  --values-file ./values.yaml --namespace tmc-local