Аутентификация LDAP и группы по умолчанию

Я не знаю, как настроить SSSD таким образом, чтобы можно было собирать информацию из разных источников для одного пользователя. Даже если это возможно, я настоятельно рекомендую не делать этого, чтобы избежать несоответствий.

Что я рекомендую для доступа по LDAP:

• использовать один каталог в качестве основного источника. AD может быть здесь.
• Если это невозможно, убедитесь, что вся необходимая информация находится в LDAP. Если вы имеете какое-то влияние на проектные решения, вы можете рассмотреть другие инструменты для синхронизации (У меня есть опыт использования Univention Corporate Server в качестве экземпляра LDAP, синхронизированного с AD с помощью прилагаемого коннектора)
• Если это также невозможно, может потребоваться добавить выделенную службу (третьего LDAP?)с некоторыми скриптами, которые собирают необходимую информацию из разных источников

Моя рекомендация для "группы на пользователя" :Если такие группы действительно нужны, это следует сделать в LDAP. В противном случае вы не можете быть уверены, что группа имеет одинаковый идентификатор posix на разных серверах.