Файловый сервер Samba + AD + SSSD без Winbind

У меня есть небольшая рабочая установка Samba без winbind, которая использует SSSD/Kerberos для аутентификации и контролирует доступ к общим ресурсам с помощью группы Windows AD. Первоначально я получил установку отсюда:http://www.hexblot.com/blog/centos-7-active-directory-and-samba. Я не эксперт по Samba, поэтому я не могу дать много объяснений, но, надеюсь, это укажет вам направление, в котором вы ищете. В настоящее время на сервере работают Debian 10.8, Samba 4.9.5 и SSSD 1.16.3

Вот глобальный раздел smb.conf и один общий ресурс:

[global]
workgroup = <domain netbios name>
security = ads
encrypt passwords = yes
passdb backend = tdbsam
realm = <kerberos realm (normally domain FQDN in all caps)>
map to guest = Bad User
kerberos method = secrets and keytab

# Not interested in printers
load printers = no
cups options = raw

# This stops an annoying message from appearing in logs
printcap name = /dev/null

[backups]
comment = My shared folder
path = /srv/smbshares/backups
public = no
writable = yes
guest ok = no
valid users = @"it@domain.fqdn"
create mask = 660
directory mask = 770

Это все, что я могу сказать наверняка, но я предложу небольшое предположение, так как у меня нет времени экспериментировать :Одна большая разница, которую я заметил между моей конфигурацией и вашей, заключается в том, что вы используете idmap, а я нет. Поскольку в ошибке упоминается проблема с членством в локальной группе, я подозреваю, что проблема именно в этом. Пробовали ли вы указать tdb в качестве серверной части домена по умолчанию (*), а затем sss в качестве домена -конкретного (что-то вроде этого -см.https://www.mankier.com/8/idmap_sss):

idmap config <AD-DOMAIN-SHORTNAME> : backend        = sss
idmap config <AD-DOMAIN-SHORTNAME> : range          = 200000-2147483647
idmap config * : backend        = tdb
idmap config * : range          = 100000-199999