LDAP Sudoers w/ AD & SSSD (возвращает только основную группу)

Да, вероятно, проблема в отсутствии первичных групп. Тот факт, что getent groupработает, не имеет значения, sudoиспользует вывод initgroups, который более или менее соответствует тому, что вы получаете, когда вызываете id.

И вы также правы, что sssd-users — лучший: https://lists.fedorahosted.org/admin/lists/sssd-users.lists.fedorahosted.org/

Мы даже исправили наше руководство по устранению неполадок не так давно на https://pagure.io/docs/SSSD/sssd/, прямая ссылка https://docs.pagure.org/SSSD.sssd /users/troubleshooting.html

В CentOS 7 у меня была та же проблема с идентификатором, показывающим только основные группы, например.:

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) groups=485400513(domain users)

Я читал эту справочную(ссылку)и редактировал свою /etc/sssd/sssd.confи понял, что мне не хватает нескольких рекомендуемых параметров конфигурации. Раньше у меня было только:

[domain/AD.DOMAIN]
id_provider = ad

поэтому я добавил другие флаги, упомянутые в ссылке прямо под ним:

auth_provider = ad
chpass_provider = ad
access_provider = ad

К сожалению, я не знаю, какой из них отвечает за улучшение, но если бы мне пришлось угадывать, то это был бы auth_provider = ad. Теперь idимеет этот результат:

id DOMAIN\\administrator

uid=485400500(administrator) gid=485400513(domain users) 
groups=485400513(domain users),485400518(schema admins),485400519(enterprise 
admins),485400512(domain admins),485403117(sudoers),485400520(group policy 
creator owners),485400572(denied rodc password replication 
group),485401624(esx admins),485401679(wseremotewebaccessusers), 
485401680(wseallowshareaccess),485401681(wseallowcomputeraccess),
485401682(wseallowmediaaccess),485401683(wseallowadd inaccess),485401684(wseallowdashboardaccess),
485401685(wseallowhomepagelinks),45401686(wsealertadministrators),
485401687(wseremoteaccessusers),485403103(ipamad mins)