A solução era estender o intervalo do mapa de ID visível no ldap ldap, nosso anúncio é muito grande e parece que o intervalo padrão não era grande o suficiente para abranger todos os usuários no intervalo, o que significa que só seria possível para converter o objectSID que ele pode ver. Meu SID estava bem acima dos meus colegas, e é por isso que ele conseguiu fazer o login, mas eu não estava.
A solução foi adicionar o seguinte à parte principal do SSSD.conf
ldap_idmap_default_domain_sid = SID OF THE DOMAIN ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000
Ref: link