Вот ситуация:
У меня нет большого опыта работы с Linux, поэтому я провел небольшое исследование и нашел два возможных способа добиться этого:
Это невозможно сделать без изменения базы данных LDAP. Вы можете добавить локальных пользователей в группы LDAP, но это должно быть сделано на сервере LDAP.
Проблема в том, что локальные группы и группы LDAP - это разные "миры". Система может быть настроена на использование обеих, но одна из них будет основной, а другая - вторичной. Если что-то найдено в первичном источнике, вторичный не будет запрошен. Это делает ваш первый способ невозможным: локальная группа затмит группу LDAP (или, если LDAP является первичной, она просто будет проигнорирована).
Второй подход может работать, однако, как вы сказали, он сложный, ресурсоемкий (обращение к файловой системе может генерировать много IO), хрупкий и больше похож на хак, чем на реальное решение.
Я думаю, что лучшим способом будет попросить администратора LDAP-сервера включить пользователя в группу grp. Также, я могу ошибаться, но мне кажется, что это XY проблема.