PKI выпуская CA на контроллерах домена
Существует целый набор способов сделать это. Вероятно, самый популярный, современный путь использует Kerberos и PAM. "Старым standy" является NIS. Некоторые люди могли бы указать на Вас на OpenLDAP, но иметь в виду, что LDAP является службой каталогов, не услугой аутентификации. Попытки "пройти проверку подлинности прочь LDAP" являются взломами, обычно привыкшими к рожку для обуви Linux в существующую сеть Active Directory.
Немного поздно, но так или иначе. Обычно не рекомендуемый развернуть роль CA на DC. Это мешает обновлять AD, поскольку у Вас есть к оперативному обновлению DC для более новых версий ОС. Это - awkard при перемещении от 32-разрядного основанного на ОС DC до 64-разрядной ОС как Windows Server 2008 R2. Дополнительно, поскольку предпочтение состоит в том, чтобы продвинуть чистый созданный новый DCS в противоположность оперативному обновлению, когда дело доходит до понижения в должности старой комбинации DC/CA, это делает это неловким.