Как заставить корректно работать авторизацию веб-интерфейса GitLab'а?

Установил GitLab(с авторизацией LDAP), все отлично работает.

Задал фильтр
user_filter: '(&(|(objectclass=posixAccount))(|(memberOf=cn=git,ou=groups,dc=terrasystems,dc=eu)))'

git клиент работает по http (логин/пароль). Если фильтр соответствует действительность и авторизация прошла успешно, то push отрабатывает нормально, а если фильтр не соотвествует действительно, то получаем Access Denied - что и требовалось доказать.

Но LDAP-авторизация веб-морды в любом случае дает авторизироваться пользователю, как буд-то бы не учитывет заданый фильтр.

Как быть? Как сделать, что бы авторизация юзера в веб-интерфейса сабжа кроме проверки логин/пароль выполнялась с учетом фильтра?