Autenticação do Centos AD com SSSD, Como adicionar ações do Samba

Estou tentando fazer com que isso funcione de maneira confiável por algum tempo. Aqui está o colapso:

O Centos 7 com autenticação SSSD para o Active Directory (totalmente funcional) aqui é o arquivo sssd.conf:

[sssd]
domains = example
config_file_version = 2
services = nss, pam

[domain/example]
realmd_tags = manages-system joined-with-samba 
enumerate = false
cache_credentials = false
id_provider = ldap
auth_provider = ldap
ldap_schema = ad
ldap_uri = ldaps://example.edu
ldap_search_base = dc=example,dc=edu
ldap_default_bind_dn = CN=useraccount, OU=people, DC=example,Dc=edu
ldap_default_authtok_type = password
ldap_default_authtok = 
ldap_user_search_base = ou=People,ou=example,dc=edu
ldap_user_name = sAMAccountName
ldap_user_object_class = person
ldap_user_member_of = memberOf
ldap_user_uid_number = uidnumber
ldap_user_gid_number = gidnumber
ldap_user_fullname = displayName
ldap_group_search_base =dc=example,dc=edu
ldap_group_object_class = group
ldap_group_name = sAMAccountName
tls_reqcert = demand
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
override_homedir = /home/%u

Com isso, posso fazer login com credenciais de anúncios e ver UID / GIDs na árvore do AD.

O problema surge quando eu tento integrar compartilhamentos de samba que também auth contra sssd / pam que parece não funcionar corretamente.

aqui é pelo arquivo smb.conf básico:

[global]
workgroup = EXAMPLE 
server string = Samba Server Version %v 
log file = /var/log/samba/log.%m 
 log level = 7
max log size = 50 

security = ads 
encrypt passwords = yes 
passdb backend = tdbsam 
realm = example.edu 

vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes

load printers = no 
cups options = raw 

printcap name = /dev/null 
[myshare] 
comment = My shared folder 
path = /var/myshare 
public = no 
writable = yes 
guest ok = no 
write list = testuser
read list = @"testgroup"

Ultimamente eu sinto que estou sentindo falta de algo simples aqui, ou talvez não seja possível. Eu configurei a pasta perms para 0770 root: testgroup. Por fim, gostaria que os usuários do Windows que estão se conectando pudessem editar as permissões por meio do NTFS, se possível.

A razão pela qual eu estou usando sssd em vez de winbind para isso é que eu preciso dos UID / GIDs para puxar do AD (para montagens nfs e tal) e nunca pareceu estar 100% correto 100% do tempo.

Qualquer ajuda sobre isso seria muito apreciada!