Desde que todos esses sistemas estejam inscritos no domínio EXAMPLE.COM do IPA e usem o sssd, o cenário deve funcionar.
O SSSD puxa todos os domínios definidos no IPA e os mapeia para o domínio IPA. Alternativamente, você pode mapeá-los para o domínio IPA se não houver nenhum SSSD em uso. Está tudo no krb5.conf. Portanto, os sistemas IPA podem estar em qualquer domínio, krb5.conf contém mapeamento de domínio / território para esse propósito, tudo o que eles precisam saber é como localizar o KDC do IPA, os próprios sistemas não precisam pertencer ao domínio "exmpale.com".
Espero que isso ajude.