O IPA não fornece uma solução "MS Windows AD-like", mas fornece a capacidade de configurar um relacionamento confiança entre um Active Directory e um domínio IPA, que é um Kerberos REALM, na verdade .
Com relação a alguns dos recursos de segurança que você pode usar fora da caixa com IPA não presente em uma instalação LDAP padrão ou um Kerberos REALM baseado em LDAP, vamos citar alguns:
- armazenando chaves SSH para usuários
- mapeamentos do SELinux
- Regras do HBAC
- regras do sudo
- definindo políticas de senha
- certificado (X509) manuseio
Relacionado ao SSO, lembre-se de que o aplicativo de destino deve oferecer suporte à autenticação do Kerberos e à autorização do LDAP. Ou ser capaz de falar com o SSSD.
Por fim, você não precisa configurar o NTP nem o DNS se não quiser, ambos são opcionais. No entanto, eu recomendo muito usar ambos, como você pode sempre delegar NTP em um estrato superior e configurar encaminhadores para qualquer coisa fora do seu reino facilmente.