Eu não sei como configurar o SSSD de maneira que você possa coletar informações de diferentes fontes para um usuário. Mesmo que isso seja possível, é altamente recomendável não fazer isso para evitar incompatibilidades.
O que eu recomendaria para o acesso LDAP:
- use um diretório como fonte principal. AD pode ser o único aqui.
- Se isso não for possível, certifique-se de que todas as informações necessárias estejam no LDAP. Se você tiver alguma influência nas decisões de design, considere outras ferramentas para sincronizar (tenho experiências usando o Univention Corporate Server como instância LDAP sincronizada com o AD usando o Conector incluído)
- Se isso também não for possível, talvez seja necessário adicionar um serviço dedicado (terceiro LDAP?) com alguns scripts que coletam as informações necessárias de diferentes fontes
Minha recomendação para o "grupo por usuário": Se tais grupos forem realmente necessários, isso deve ser feito no LDAP. Caso contrário, você não pode ter certeza de que o grupo tenha o mesmo ID de posix nos diferentes servidores.