/etc/nsswitch.conf určí jedno nebo druhé pokud první nevyhoví (heslo nebo uživatel tam není). Tohle lze ale velice podrobně nastavit přes pam moduly (v /etc/pam.d), jelikož píšeš o sssd, jsou již instalačním scriptem předkonfigurované.
sssd používá cache (případně doporučuji ověřit, že je zapnutá), takže běžné operace jako získání skupíiny a uid uživatele nevytváří dotaz do AD, ale na heslo se musí dotazovat pořád. Aby se mohlo použít lokální heslo (přes shadow) místo dotazu do AD, mělo by stačit upravit:
V souboru /etc/pam.d/password-auth (slouží pro zadávání hesla, když už na serveru máš sezení, např. pro sudo heslo) do sekce password dát tohle:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so
Nebo v souboru /etc/pam.d/system-auth (slouží pro vzdálené přihlašování třeba přes ssh) opět do sekce password dát to stejné:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so
Předpoklad je, že existuje lokální účet pro uživatele na OS, tj. že se již přihlásil a je nastaveno automatické vytváření účtů. Píšu z hlavy, tak to zkoušeji opatrně a při zkoušení si vytvoř záložní sezení s otevřeným rootem, ať případně můžeš problémy napravit.