Autenticazione Samba e LDAP

Ho un server OpenLDAP che utilizzo per l'authentication e l'authorization per diversi servizi. Tutti gli utenti sono del tipo di object inetOrgPerson ei miei gruppi sono groupOfNames .

Ora voglio configurare Samba per autenticare anche contro LDAP (con authorization basata su gruppo). Non posso / non voglio usare samba come controller di dominio, ma solo come file server. Inoltre non voglio gestire separatamente gli account utente in samba, perché ho tutte le informazioni necessarie in LDAP (nome utente, password, membri di gruppo). Voglio anche evitare di cambiare il mio DIT. Per quanto posso dire dalla mia ricerca attuale non posso farlo direttamente perché

a) Samba utilizza un proprio store di credenziali per l'authentication, vale a dire che dovrei smbpasswd per each utente LDAP esistente
b) I miei utenti LDAP dovrebbero avere attributi samba

Dopo aver guardato in giro qualche altro ho il sospetto che una soluzione al mio problema potrebbe essere quella di utilizzare Kerberos tra samba e LDAP.
Non ho alcuna esperienza nell'amministrazione di Kerberos, quindi prima di mettere a fatica questo objective, voglio chiarire i seguenti argomenti:

  • Le mie ipotesi sono corrette?
  • Posso eseguire il server di authentication Kerberos e il centro di distribuzione chiave su una macchina e configurarlo per servire solo la concessione di biglietti su localhost? (OpenLDAP e samba eseguono sulla stessa macchina)
  • L'utilizzo di Kerberos mi permetterà di mantenere invariato il mio DIT e di eseguire l'authentication / l'authorization esclusivamente con le informazioni contenute in LDAP?
  • Ci sono soluzioni migliori / più semplici?

Sono in Ubuntu Server 14.04.

Grazie mille per eventuali suggerimenti in anticipo

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.