Adicionando um usuário do sistema a um grupo LDAP com SSSD

Nosso servidor LDAP está executando grupos RFC 2307 ( memberuid contém um nome de usuário, não um DN). Com o antigo nscd / nss_ldap / pam_ldap setup, você poderia listar um usuário não LDAP (um usuário do sistema de /etc/passwd ) em um atributo memberuid do grupo LDAP, e esse usuário do sistema será um membro do grupo.

No entanto, nas máquinas que eu atualizei para SSSD , isso não funciona mais: o SSSD apenas remove o usuário não-LDAP de a lista de membros.

Confirmei este comportamento fazendo login como usuário e usando id e também executando getent group group .

Aqui está o meu sssd.conf (com alguns detalhes redigidos e claramente marcados como tal)

[sssd]
config_file_version = 2
services = nss, pam
domains = REDACTED.net

[nss]
# defaults are OK

[pam]
# defaults are OK

[domain/REDACTED.net]
enumerate = true
id_provider = ldap
auth_provider = ldap
access_provider = ldap
chpass_provider = ldap

ldap_uri = _srv_
ldap_chpass_uri = ldap://haruhi.REDACTED.net
ldap_search_base = dc=REDACTED,dc=net?subtree?
ldap_schema = rfc2307
ldap_tls_cacert = /usr/local/share/ca-certificates/REDACTED-CA.crt
ldap_id_use_start_tls = true
ldap_pwd_policy = shadow

ldap_access_filter = memberOf=cn=UNIX Users,ou=Policies,dc=REDACTED,dc=net
ldap_access_order = filter, authorized_service, host

ldap_default_bind_dn = uid=haruhi,ou=Machines,dc=REDACTED,dc=net
ldap_default_authtok = VERY_REDACTED

/etc/nsswitch.conf tem entradas chatas para passwd / group / shadow:

passwd:         compat ldap sss
group:          compat ldap sss
shadow:         compat sss

(o ldap ainda está lá, mas não está mais instalado no sistema)

Além disso, duvido que seja importante (já que vejo o mesmo comportamento em outras máquinas), mas essa máquina - Haruhi - também é o servidor LDAP mestre, executando o OpenLDAP.

Como configuro o SSSD para não remover usuários do sistema de grupos LDAP?