Permisos de usuario y grupo en access.conf

¿Cómo configuro access.conf para que se aplique la siguiente regla? :

Permitir que el usuario se conecte desde 192.152.100. Denegar al usuario sim para conectarse desde 192.152.100. Particularidad: los usuarios dia (uid = 8389753) y sim (uid = 500) pertenecen al grupo sim (gid = 500) Sí, el usuario y el grupo sim tienen el mismo nombre y el mismo id.

Con la siguiente syntax,

- : sim : 192.152.100. 

el usuario sim se niega, así como dia (porque dia pertenece al grupo sim). access.conf considera que sim es tanto el usuario como el grupo.

¿Cómo se especifica que quiero negar el usuario sim, pero al mismo time permitir que el usuario dia?

Has probado esto ya:

 + : dia : 192.152.100. - : sim : 192.152.100. 

Está funcionando bien en mi CentOS.