Não creio que exista alguma mágica aqui: em algum momento, você terá que garantir a exclusividade do UID / GID e o alinhamento em todos os servidores, inclusive no LDAP. Caso o alinhamento não seja alcançado, você poderá ter permissões inesperadas. Como conseguir isso?
- coletando todo o UID / GID de todos os / etc / passwd e / etc / group
- mesure diferença e conflitos, se houver (incluindo comparação com o UID / GID existente no LDAP)
- define o UID / GID de destino para contas que não estão alinhadas
- usermod / grpmode para alterar o UID e o GID
- chmod e chown quando necessário
Uma vez alinhados em todos os lugares, como os servidores são configurados para confiar no LDAP (PAM e NSS), contas e grupos locais não são mais necessários e devem ser removidos, IMHO.