Devo adquirir o Windows Server para definir políticas ou ativar o login do domínio?

Você pode configurar o Linux para atuar como um controlador de domínio usando o software SAMBA. Portanto, não, você não precisa comprar licenças para o Windows Server simplesmente para logins de domínio.

No entanto, um servidor LDAP comum não é suficiente.

AFIK, você pode até mesmo aplicar políticas de grupo usando software livre, o SAMBA v4 certamente suporta políticas de grupo, embora não esteja claro se você deve realmente licenciar licenças de acesso para cliente. Ferramentas como Likewise Open e Centrify Express, eu acho que alegou fazer isso, embora ambos os sites parecem ter movido ou fechado desde minhas últimas referências. Eu realmente não fiz isso, então não posso ter certeza de como é fácil. O Likewise Open agora faz parte do BeyondTrust.

O SAMBA WIKI também tem algumas instruções básicas, embora pareçam um pouco datadas & parece que você pode fazer a maioria das coisas apenas com o SAMBA, desde que você esteja usando a v4.

ATUALIZAÇÃO:

Para responder à pergunta sobre por que o LDAP sozinho não é suficiente. Embora o Active Directory esteja, de fato, parcialmente baseado nos padrões LDAP, ele possui muitas adições proprietárias específicas para o Windows. Você precisa ter serviços não LDAP que responderão a logins de clientes, ofertas de grupos, licenças, políticas de grupo e muito mais.

O LDAP, por outro lado, é um padrão e um protocolo que saíram do X.500, projetado para fornecer um diretório de usuários corporativo (na verdade, global) e recursos relacionados a sistemas de e-mail baseados em X.400. X.500 foi um exagero para a maioria das coisas e exigiu um cliente muito complexo que era muito pesado para a maioria dos PCs do tempo. Então, o LDAP ( Lightweight Directory Access Protocol) nasceu. Em essência, ainda é apenas um mecanismo para procurar dados de usuários e similares de um diretório muito grande de itens. Tudo o que faz é pegar consultas padrão e retornar resultados de maneira padrão. Há um pouco mais nisso, claro, mas essa é a essência.

Um controlador de domínio do Samba 4 deve fornecer todas as funções descritas. Em particular, ele suporta políticas de grupo e autenticação que você mencionou imediatamente, desde que se atenha a um único servidor. A instalação não é muito difícil, desde que você se atenha à documentação.

Como já foi mencionado, um servidor LDAP padrão não resolve o problema. O Windows é bastante exigente quanto à combinação de LDAP, Kerberos e serviços de arquivos no Controlador de Domínio e todos eles são um pouco diferentes do que foi padronizado.

As limitações que as pessoas estão falando são, na maioria das vezes, mais complicações de configuração do que limitações reais e todas elas entram em cena, se você estiver procurando por algo mais do que um único servidor. Nesse caso, o Samba 4 não possui partes da replicação de replicação de política inbuild, então você precisará de um script para contornar isso. A outra questão que entra em jogo é que a autenticação NTP e Kerberos são serviços separados e precisam ser configurados para corresponder ao seu primeiro servidor. Eu diria que uma vez que você tenha os dois primeiros servidores rodando, não é muito difícil gerenciá-lo, mas a curva inicial para configurar um ambiente Samba 4 multi-servidor pode ser bastante alta.

É claro que as distribuições comerciais, como o nosso UCS, podem facilitar a execução do Samba 4 e sua administração, mas, por trás dele, está o mesmo software em execução em 10000 ambientes de usuários.