Как добавить AD элементы группы к локальной группе

У меня уже есть AD интеграция, работающая через sssd, где пользователь, входящий в систему, является членом одной из двух AD групп. Они могут к ssh в сервер и если это - их первый вход в систему, они - предоставленный доступ со своим корневым каталогом, вызванным к / домой / % d / % u. Это работает как ожидалось, и теперь я хотел бы автоматически присвоить этих пользователей локальным группам Linux в человечности, основанной на их AD составе группы. Первоначально, одна группа должна будет быть добавлена к единственной группе (www-данные), в то время как второй группе был бы нужен доступ к www-данным и sudo группе. Поскольку это - начальная передача в этом, я сохранил ее простой, но это будет расширяться, и я хотел бы избежать необходимости вручную добавлять этих пользователей к группам, который в настоящее время работает.

Членство AD групп является динамичным и как таковым, любые изменения в группах должны идеально быть отражены локально. Существует ли механизм, который я пропустил через различный sssd, kerberos учебные руководства? Я рассмотрел использование сценария крона, который выполняет каждый часы для опроса относительно изменений, но если бы что-то уже существует в конфигурациях sssd/pam/kerberos, я хотел бы использовать это.