nslcd를 통한 LDAP 그룹의 Sudo 권한

MS ActiveDirectory에서 Debian LDAP 인증/권한 부여 설정에 대한 sudo 권한에 문제가 있습니다.

내가 지금까지 가지고 있는 것
ldaps를 통해 libpam-ldap으로 nslcd를 구성했으며 ssh 로그인이 훌륭하게 작동합니다.

getent passwd myuser
myuser:*:10001:10015:myuser:/home/myuser:/bin/bash

내 ActiveDirectory 서버에는 posixGroup, posixAccount, gid, gidNumber, uid, uidNumber 등과 같은 필수 속성을 추가하는 Unix 패키지가 설치되어 있습니다.

내 예시 사용자는 다음과 같습니다.
(안전한 측면을 유지하기 위해 10000+를 선택합니다)

cn: myuser
uid: myuser
uidNumber: 10015
gidNumber: 10000

/etc/nslcd.conf에 다음을 추가하여 SSH 로그인을 제한할 수 있습니다.

filter passwd (&(objectClass=posixAccount)(|(memberOf=CN=group1,OU=groups,DC=domain,DC=com)(memberOf=CN=group2,OU=groups,DC=domain,DC=com)))

이는 objecClass=posixAccount 및 그룹이 group1 또는 group2인 사용자만 로그인할 수 있도록 지정합니다.

여태까지는 그런대로 잘됐다. 그러나 sudo에게 해당 그룹을 사용하도록 지시할 수는 없습니다.

내가 시도한 것은 다음과 같습니다.
/etc/sudoers에서

// This one works, but only because the user has gidNumber=10000 set. 
// It doesn't matter if a group with this ID actually exist or not. 
// So it's not really permission by LDAP group.
%#10000 ALL=(root) ALL


// This is what I want, but it doesn't work.
%group1 ALL=(root) ALL

문제
어떻게든 sudo에게 요청하는 사용자 이름을 가져와서 그것이 속한 ldap-group을 확인한 다음 해당 그룹에 대한 권한이 명령을 실행하기에 충분한지 확인해야 합니다.

불행히도 어디서부터 시작해야 할지 모르겠습니다. 다른 모든 것은 지금까지 작동하며 sudo 권한만 붙어 있습니다. 사용자 gidNumber 필드를 그룹 gidNumber 필드에 매핑하려고 생각했지만 사용자 필드를 그룹 필드에 매핑하는 것이 가능한지 모르겠습니다.

나는 그렇게 생각하지 않습니다. nslcd의 매핑이 다음과 같이 지정되어 있기 때문입니다.

map passwd field1 field2

passwd는 nslcd에게 사용자 필드를 매핑해야 한다고 알려줍니다. passwd 대신 그룹을 사용할 수 있지만 둘 다 사용할 수는 없습니다.