Вам все равно придется опрашивать AD на предмет соответствующих unix атрибутов с Kerberos или без него. Kerberos предоставит вам SSO (если вы используете те же учетные данные для входа на ваши серверы под управлением Linux, что и для входа на рабочую станцию под управлением Windows)
И, по крайней мере, на рабочих станциях под управлением Windows, если вы сравните его с SSH агентами, доступными на Windows, вы обнаружите, что SSH агенты на этой платформе не делают особо безопасных вещей с закрытыми ключами (например, удаляют их после периода простоя, или при блокировке экрана, и т.д.)
.Active Directory по умолчанию не разрешает анонимную привязку LDAP. Присоединение хоста к домену делает хост "доверенным", поэтому он может получить доступ к ресурсам домена (таким как LDAP) со своими собственными учетными данными.
Это не так уж и много значит, если вы разрешаете анонимную привязку в AD.
Да, Winbind автоматизирует настройку объекта в Active Directory. Я пробовал настроить Kerberos для аутентификации в AD вручную, и это ужасно. Требуется множество непонятных команд в командной строке Windows и расширения AD Unix. Мне так и не удалось заставить его работать, а расширения AD Unix не рекомендуются для AD после Windows 2012.
В последнее время realmd значительно упростит интеграцию серверов Linux в AD. Он устанавливает SSSD и Kerberos локально и создает все необходимые объекты в AD. Я использовал его для интеграции Ubuntu, CentOS и Fedora в домен AD, и он работает очень хорошо. CentOS и Fedora были безупречными, а Ubuntu работает хорошо после того, как были улажены все необходимые шаги настройки.