Eu não sei o SSSD, mas se o seu banco de dados do LDAP estiver corretamente compatível com rfc2307bis-02, você poderá adicionar os valores de atributo member e memberUid a qualquer grupo no banco de dados LDAP. Os valores member
são usados para usuários LDAP baseados em dn, memberUid
valores são para usuários locais, que obviamente não possuem dns. Por exemplo, o seguinte deve adicionar um usuário local chamado fred e um usuário LDAP chamado ethel ao grupo vipb:
$ ldapmodify -D <admin DN> -h <ldaphost> -W
password: [enter password]
dn: cn=vipb,ou=groups,dc=example,dc=com
changetype: modify
add: memberUid
memberUid: fred
-
add: member
member: uid=ethel,ou=users,dc=example,dc=com
^D
O cache atrapalhará, então:
$ nscd --invalidate=group
Você pode verificar a associação ao grupo:
$ id -nG fred
$ id -nG ethel