Dos métodos sugeridos, deixe-me dar uma lista de prós e contras:
Direto para o Kerberos / LDAP
Prós: funciona muito bem quando configurado corretamente. Raramente quebra, resiliente, irá sobreviver falhas de rede. Nenhuma alteração precisa no AD, nenhuma alteração de esquema, nenhum acesso de Administrador necessário ao AD. Grátis.
Contras: relativamente difícil de configurar. Vários arquivos precisam ser alterados. Não funcionará se o servidor de autenticação (Kerberos / LDAP) não estiver disponível.
Winbind
Prós: fácil de configurar. Funcionalidade básica do sudo. Grátis.
Contras: suporte intensivo. Não é resiliente à rede. Se houver um problema de rede, as máquinas Linux poderão ser excluídas do AD, exigindo a reconexão do servidor, uma tarefa de suporte. Acesso à conta de administrador do AD necessário. Poderia fazer alterações no esquema no AD.
Centrifique / Da mesma forma, etc.
Prós: relativamente fácil de configurar.
Contras: Altera a funcionalidade do sudo para proprietária, mais difícil de suportar. Custo de licença por servidor. Precisa de habilidades adicionais para gerenciar.
SSSD
Prós: um arquivo de configuração, fácil de configurar. Funciona com todos os métodos de autenticação presentes e futuros. Escalável, cresce com o sistema. Funcionará no modo desconectado. Rede resiliente. Não há necessidade de fazer qualquer alteração no esquema do AD. Não há necessidade de credenciais de administrador do AD. Gratuito, suportado.
Contras: não possui serviços de vitória, como atualizações automáticas de DNS. Precisa configurar compartilhamentos CIFS.
Resumo
Olhando para as vantagens e desvantagens, o SSSD é o vencedor claro. Se for um novo sistema, não há razão para usar outra coisa senão SSSD. É um integrador que trabalha com todos os métodos de autenticação presentes e pode crescer com o sistema porque novos métodos podem ser adicionados quando disponíveis. Ele usa métodos nativos do Linux e é muito mais confiável e rápido. Se o armazenamento em cache estiver ativado, os sistemas funcionarão mesmo em sistemas completamente desconectados com total falha de rede.
O Winbind pode ser usado para sistemas existentes se houver muito trabalho envolvido para mudar.
A Centrify teve problemas com a integração, o que pode custar caro. A maioria dos bugs é corrigida na nova versão, mas ainda há alguns que causam dores de cabeça.
Trabalhei com todos esses métodos e o SSSD é o vencedor claro. Mesmo para sistemas mais antigos, o ROI para converter de Winbind para SSSD é muito alto. A menos que haja uma razão específica para não usar o SSSD, sempre use o SSSD.