启用ldap认证的多个用户组，支持mfa功能隔离

[sansam]

使用的anylink版本 ?

v0.14.1-beta3

使用操作系统的类型和版本?

alma linux9.7

使用linux 内核版本?

Linux ali-us-la-anylink-inner 5.14.0-611.27.1.el9_7.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Feb 4 04:40:11 EST 2026 x86_64 x86_64 x86_64 GNU/Linux

具体遇到的问题，可上传截图

复现步骤

1. 新增2个组，分别为all和mfa，均启用ldap认证，其中all不开启otp，mfa开启otp
2. 点击all组 > 同步用户，查看 > 用户列表 > OTP密钥显示空；登录时无论选择all组还是mfa组，都【不需要】输入otp数字
3. 点击mfa组 > 同步用户，查看 > 用户列表 > OTP密钥显示存在otp码；登录时无论选择all组还是mfa组，都【需要】输入otp数字

期望结果

1. 客户端选择不开启otp的all组，不需要输入otp数字
2. 客户端选择开启otp的mfa组，需要输入otp数字

猜想该版本ldap的otp判断功能是全局的，没有细化到具体的组

[wsczx]

otp是基于用户的，不允许同用户在a组启用同时在b组不启用
组设置里面的otp开关是更改组内所有用户的otp状态