Как добавить членов группы AD в локальную группу

У меня уже есть интеграция AD, работающая через sssd, где входящий пользователь является членом одной из двух групп AD. Они могут подключиться к серверу по ssh, и, если это их первый вход в систему, им предоставляется доступ с их домашним каталогом, принудительно установленным на /home/%d/%u. Это работает, как и ожидалось, и теперь я хотел бы автоматически назначать этих пользователей локальным группам Linux в Ubuntu на основе их членства в группах AD. Первоначально одну группу необходимо будет добавить в одну группу (www-data), а второй группе потребуется доступ к www-data и группе sudo. Поскольку это начальный этап, я оставил это простым, но это будет расширяться, и я хотел бы избежать необходимости вручную добавлять этих пользователей в группы, что работает в настоящее время.

Членство в группах AD является динамичным, и поэтому любые изменения в группах в идеале должны отражаться локально. Есть ли механизм, который я пропустил в различных руководствах по sssd, kerberos? Я подумал об использовании скрипта cron, который запускается каждый час для опроса изменений, но если что-то уже существует в конфигах sssd/pam/kerberos, я бы хотел использовать это.