Идея в продолжение вот этой [TROLL] [ FAT] [SAMBA] [Этот_ваш_ЛИНУПС] Зачем «играть в догонялки»??? темы.
Все в курсе, что винда умеет быть участником Kerberos'ного домена? Ну да, если кто не в курсе - теперь в курсе. То есть ей можно указать, что она будет проверять юзеров через Kerberos - любой, не обязательно виндовый/AD. Единственное условие - чтобы на компе была заведена учетка для юзера.
Собственно мысль:
1. Создаем каталог LDAP [ready]
2. Поднимаем сервер Kerberos [ready]
3. Заводим аккаунты для юзеров и компов и принципалов в керберосе для них [ready]
4. Поднимаем на винде сервис, который автоматом заводит учетки юзеров и групп, беря их из LDAP и синхронизировала содержание групп [work-in-progress, 70% complete]
5. Настраиваем винду чтобы она аутетнтифицировала юзеров в керберосном домене [ready]
6. Пишем плагин для Kerberos, который изменение пароля пробрасывает в LDAP [planned]
И всё - у нас есть живой SSO без самбы и без AD. Причем на всех компах видны все юзеры (главное отличие от PGINA), удаленные из LDAP'а юзеры и группы автоматически удаляются на всех компах и т.п.
При желании, можно прикурить из LDAP'а и самбу - просто расширив плагин так, чтобы он синхронизировал и самбовский хэш пароля. В планах донавесить сервис, который будет делать автоматическую установку/удаление софта на основании конфигурации взятой в LDAP, применять для пользователей ограничения (аналог GPO user restrictions), расставлять права на файловой системе и накатывать юзерам в реестр ключики какие надо (например, прописать всем единый прокси или там еще что-то).