сеть в небольшой отдел

1. всегда
2. тем же, чем лучше mysql-pam
3. да, молча
4. -
5. Лучше сразу настраивать внешнюю (yandex pdd, google apps)
6. Если планируешь использовать ldap, то лучше все в ldap

P.S. Вопросы - для примера. Разыскивается чтиво, а не ответы)

Для того, чтобы было чтиво, надо сначала вопросы причесать.

После того как разберёшлся по отдельности с лдапом, керберосом, PKI, ssh и нфс на локалхосте, на freeipa погляди.

Кидать ли пользователей для веб-сервисов в ldap или пусть будут локально?

Не надо кидать пользователей для чего-то в LDAP. У вас пользователи сами по себе, а не для чего-то. Просто они должны быть в LDAP, а приложения должны понимать, куда и как на них «смотреть». В случае с LDAP нужно сразу и решительно забыть об ущербной концепции «учётных записей для сервисов». У вас есть объект - сотрудник Вася Пупкин, человек из плоти и крови. Есть его «учётная карточка» в каталоге LDAP. Все приложения либо обязаны уметь читать информацию из этой «учётной карточки», либо приложения, которые не умеют этого делать, насильно допиливаются плагинами, чтобы умели, либо же они просто сразу идут в сад.

Я, видно, не правильно сформулировал.

Допустим на сервер я поставлю крутиться Redmine. Работать он будет от своего пользователя. Так вот этот пользователя есть смысл кидать в ldap или нет? Или в ldap только человеки.

Если учётная запись для redmine - это глобальный объект инфраструктуры, то надо и хранить её в глобальном каталоге, эту инфраструктуру описывающем. Запись в LDAP представляет собой уникальную совокупность данных, однозначо описывающую объект с той степенью абстракции, которая допустима в каждом конкретном случае - и делается такая запись с целью поддержания информационной целостности представления об объекте различными компонентами IT-инфраструктуры. Проще говоря, если никаких различных компонент, которым принципиально видеть учётку redmine такой, только такой и никакой другой - нет и в помине, то и смысла делать соотв. запись в каталоге тоже нет.