Você precisa ter um repositório de usuários central, o que significa um serviço de diretório de algum tipo. Atualmente, isso significa o Active Directory, o eDirectory, o OpenLDAP ou algum outro servidor no estilo LDAP. Então, esse servidor central pode falar sobre diferentes tipos de protocolos de autenticação com o entendimento de que, mais cedo ou mais tarde, o serviço de autenticação retornará ao serviço de diretório e que o serviço de diretório provavelmente estará falando em LDAP. Este é o caso, mesmo se o serviço de diretório tiver sua própria API, porque tudo fala em LDAP, de modo que os aplicativos geralmente usam isso hoje em dia.
O Active Directory, é claro, é a escolha mais simples de fazer hoje em dia, já que a Microsoft insistiu bastante em ser onipresente e atender a maioria das necessidades.
Eu prefiro o eDirectory porque ele tem uma grande estabilidade e escalabilidade, é mais compatível com Unix do que o AD (tanto para clientes quanto para servidores) e possui um modelo de replicação que não pode ser superado.
O Openldap (e suas derivações, incluindo o Open Directory da Apple) é muito mais barato e modificável do que os outros, sendo a entrada de código aberto, mas minha impressão é de que ele é um pouco mais frágil em grandes implantações e o gerenciamento é mais confuso.
Existem alguns outros servidores LDAP disponíveis (como o Oracle Directory Server, que podem se encaixar bem nas suas caixas Sun), mas eu estou menos familiarizado com eles e, portanto, não posso fornecer detalhes firmes. Dado que você parece querer evitar o LDAP, você pode querer verificar quais métodos de autenticação cada serviço de diretório suporta para servidores Unix e basear sua decisão sobre isso.