Да, это известная проблема sssd не устанавливается с пакетом samba-DC. Проблема в том, что пакеты samba и samba-DC предоставляют один и тот же, по разному собранный, функционал. При этом, традиционная сборка ориентирована на клиентскую сторону.

Серверная сторона собрана иначе - с другой библиотекой Kerberos (в реализации Heimdal, а не MIT). И вот буквально сейчас идёт тестирование samba-4.7.0rc2, в которой за долгие годы, наконец-то, эту проблему преодолдели.

При этом требуется новая версия MIT Kerberos krb5-1.15.1, в бранче p8 у нас 1.14.5. На контроллерах домена, видимо придётся пока держать winbind при всех его недостатках.

В пользу winbind для контроллеров домена (хотя я тут пока до конца не разобрался для чего это вообще нужно) необходим ещё и для поддержки так называемого secure channel. Об этом упоминал Александр Боковой, который сейчас работает в RedHat в нашей переписке в devel@ по поводу sssd и странно упакованной библиотеки libwbclient.
https://social.technet.microsoft.com/wiki/contents/articles/24644.detailed-concepts-secure-channel-explained.aspx

В общем, да, такая проблема имеется, но степень её актуальности в связи в необходимостью использовать winbind на контроллерах домена не высока.

Да... припомнил. Итоговый вариант, который можно получить сейчас, если исправить эту багу выглядит так:
- на сервере (или клиенте, где необходим secure channel) запускается сразу две службы;
- winbind - для системных нужд AD;
- sssd - для авторизации и аутентификации в домене.

И вот этот вот режим сейчас недоступен на контроллерах доменов на базе пакета samba-DC. При этом winbind будет рпботать. Этот вариант плох тем, что трудно согласовать при sssd на клиентах и winbind на сервере одинаковое отображение SID'ов в UID'ы (если, например на контроллере домена делается общий каталог по поротоколу cifs). Поэтому проблему нужно решать.