AD認証ユーザーでの検索について

Fess（13.16.0)にてAD連携を行ってADユーザーでログインした場合の検索について
質問があります。

①ラベルを設定していますが、ラベルが使用できません。
ラベルのパーミションには、{role}guestとあります。
②認証の必要ないWebをインデクスしていますが、検索結果として表示されません。
③上記の①②について、ログインなし（guest）であれば、どちらも動きます。

これらのことから、ADユーザーでログインした場合の、ロールやグループが関わって
いるのではないかと思われますが、FessのローカルユーザーとADユーザーとの関係は
どうなっているのでしょうか？

やりたいことは、ADユーザーでFessにログインした際に、
①ラベルを使いたい
②認証が必要なADのファイルサーバーと、認証不要のWebの両方の検索結果を一度に欲しい
こういうことはできるのでしょうか？

取得するロールなどは、fess_config.propertiesの ldap.admin.role.base.dn などで指定されたものを利用したりしていますが、実際に割り当てあれているロールはユーザーをログインさせてaudit.logを見てみるのが良いと思います。その辺を確認して、ADユーザーが共通して持つロールと{role}guestをラベルに割り当てておけば良いと思います。

ありがとうございます。
logを見てみました。ローカルユーザー（admin）とADユーザー（ken）です。

action:LOGIN user:ken permissions:1ken ip:192.168.1.25 time:2022-01-11T21:37:52.818029600Z
action:LOGOUT user:ken permissions:1ken ip:192.168.1.25 time:2022-01-11T21:37:56.211422700Z
action:LOGIN user:admin permissions:1admin|Radmin|Rguest ip:192.168.1.25 time:2022-01-11T21:37:58.869638500Z
action:ACCESS user:admin path:/admin/dashboard/ execute:index ip:192.168.1.25 time:2022-01-11T21:37:58.879801400Z

このlogからはロールなどは見当たらず、permissionsに1kenとあるだけです。
ちなみに、この1kenを、ラベルのロールに当てはめてもだめでした。
{role}1ken

また、fess_config.propertiesの設定では、
ldap.admin.user.base.dn=ou=People,dc=fess,dc=codelibs,dc=org （最初の記述）
となっていたものを、
ldap.admin.role.base.dn=ou=Users,dc=test,dc=local （変更した記述）
と変更して、fessのラベルのパーミションに、
{role}Users
と記載しましたが、やはり表示されません。

ちなみに、fessのLDAP設定はうまくいっています。
Base DN dc=test,dc=local
User DN %s@test.local

ユーザーの権限しかないようなので、デバッグログなどでmemberOfの値が実際に返って来ているか確認してみると良いと思います。
1がユーザー、2がグループ、Rがロールになるので、{user}kenが指定するべきパーミッション値になります。

ありがとうございます。
以下のようにグループを取得できるようになりました。

action:LOGIN user:ken permissions:2DXGroup|1ken|2fessGroup ip:192.168.1.25 time:2022-01-15T04:36:15.659976100Z

ここでわかったことが、
①ADの既存グループDomain Usersでは、個別ユーザーからグループとして取得できない。
②新しくグループを作成し、そのグループに直接ユーザーを追加すれば、グループとして取得できる。
③しかし、グループにメンバーとして別グループを追加しても、該当ユーザーには所属グループとして取得できない。（これはADユーザーとコンピューター画面でも同じ）
④そもそもADに、ロールという概念がない？
です。

fessでロールは使えませんが、グループが使えるためやりたいことはできるようになりました。

グループでもロールでもユーザーの管理対象の都合に合わせているだけなので、特にそれらに大差はありません。