Autenticação Samba e LDAP

Eu tenho um servidor OpenLDAP que eu uso para autenticação e autorização para vários serviços. Todos os usuários são do tipo de objeto inetOrgPerson e meus grupos são groupOfNames .

Agora, quero configurar o Samba para autenticar também no LDAP (com autorização baseada em grupo). Eu não posso / não quero usar o samba como controlador de domínio, mas apenas como servidor de arquivos. Eu também não quero gerenciar contas de usuário separadamente no samba, porque eu tenho todas as informações que eu preciso no LDAP (nome de usuário, senha, membros do grupo). Eu também quero evitar mudar meu DIT. Tanto quanto eu posso dizer da minha pesquisa atual eu não posso fazer isso diretamente porque

a) O Samba usa seu próprio armazenamento de credenciais para autenticação, ou seja, eu precisaria de smbpasswd para cada usuário LDAP existente. b) Meus usuários LDAP teriam que ter atributos de samba

Depois de olhar em volta um pouco mais, suspeito que uma solução para o meu problema poderia ser usar o Kerberos entre o samba e o LDAP. Não tenho experiência em administrar o Kerberos, portanto, antes de me esforçar para isso, quero esclarecer os seguintes tópicos:

• As minhas suposições estão corretas?
• Posso executar o Servidor de Autenticação e o Centro de Distribuição de Chaves do Kerberos em uma máquina e configurá-lo para atender apenas à concessão de tickets no host local? (OpenLDAP e samba são executados na mesma máquina)
• O uso do Kerberos permitirá que eu mantenha meu DIT inalterado e execute a autenticação / autorização exclusivamente com as informações que estão no LDAP?
• Existem soluções melhores / mais fáceis?

Estou no Ubuntu Server 14.04.

Muito obrigado por quaisquer sugestões antecipadamente