Ok, aqui está como eu faria:
-
Uma base LDAP, sempre uma base LDAP. Mesmo que o conjunto de ferramentas que você está usando suporte várias vezes, em algum lugar, você precisará usar algo que não seja. Disclaimer: Eu nunca tentei.
-
Eu sempre uso dc baseado agora. É muito mais fácil de lembrar e ter uma estrutura de DNS que corresponda à estrutura LDAP parece mais intuitiva para mim. Dizendo isso, tive problemas em obter certificados emitidos no passado.
-
Dois grupos com alguns membros comuns definitivamente sentem o caminho certo.
No que diz respeito aos sudoers, no Linux eu sempre configuro grupos no arquivo sudoers e depois adiciono e gerencio os grupos usando o LDAP. Eu sei que você pode construir o sudo para usar o LDAP nativamente, mas ele não vem assim em nenhuma das plataformas que eu uso, então eu não uso.
Eu apenas toquei com o exim e o dovecot, mas gostaria de configurar os dois registros MX para apontar para o mesmo servidor e fazer com que os usuários configurem os endereços de e de resposta conforme acharem melhor.