faça login com o usuário do AD quando "winbind use default domain" não definido

Eu tenho um controlador de domínio Samba4 e adicionei um servidor membro do Ubuntu 16.04 ao domínio. Estou usando o samba + winbind para isso e tudo parece funcionar. O backend do idmap é configurado usando "ad". Aqui está o smb.conf para referência.

[global]
        workgroup = name
        realm = NAME.DOMAIN.COM
        netbios name = app02
        security = ADS
        log file = /var/log/samba/%m.log
        log level = 1

        # Default idmap config for local BUILTIN accounts and groups
        idmap config * : backend = tdb
        idmap config * : range = 3000-7999

        # idmap config for the NAME domain
        idmap config NAME:backend = ad
        idmap config NAME:schema_mode = rfc2307
        idmap config NAME:range = 10000-999999

        # Template settings for login shell and home directory
        winbind nss info = template
        template shell = /bin/bash
        template homedir = /home/%U
        winbind use default domain = yes

O problema que estou tendo está relacionado à autenticação (SSH) quando eu não defino winbind use default domain = yes em smb.conf.

Quando você definir esse igual como yes, os vários comandos como wbinfo -u , wbinfo -g , getent passwd UserName retornarão uma conta SEM o nome de domínio. Se você não definir isso, obterá resultados como Domain\UserName e Domain\Domain Users . A razão pela qual você pode não querer definir isso é porque isso limitaria seus logins a um único domínio.

No entanto, quando eu removo esta configuração do smb.conf eu não consigo mais logar. Eu suspeito que é um problema de formatação ao tentar fornecer domain \ username no login do SSH. Eu tentei domínio \ nome de usuário, domínio + nome de usuário, nome de usuário e nome de usuário @ domínio. Todos falharam.

Alguém sabe como obter logins SSH funcionando para esses usuários do AD quando winbind use default domain não está definido?