O guia de instalação do ACS 3.3 (consulte link ) menciona brevemente domínios confiáveis, assim como a documentação do usuário final ( link ). Suponho que você poderia criar relações de confiança unidirecionais com cada uma das infraestruturas do Active Directory das escolas para facilitar isso por meio do AD.
A coisa negativa em fazer isso com uma relação de confiança do AD é que você precisará da resolução de nomes para os computadores do controlador de domínio das escolas. Você pode usar a funcionalidade de banco de dados de usuário "LDAP genérico" e usar endereços IP de seus controladores de domínio do Active Directory em vez de usar o encanamento subjacente no Windows para lidar com a autenticação em seus bancos de dados do AD.
Finalmente, parece que uma instalação do ACS 3.3 pode usar outro servidor RADIUS para autenticação baseada em tokens. Eu tentaria isso com um servidor RADIUS padrão (sem usar tokens) e ver se você pode fazer com que o ACS se autentique em outro servidor RADIUS. Se puder, você pode pedir às escolas que executem um servidor RADIUS (como o Microsoft IAS) e expor apenas isso a você. Isso faria com que vocês dois se desentupissem quanto possível enquanto ainda realizassem o que você quer. É um tiro longo, mas pode funcionar.
Eu provavelmente buscaria primeiro a rota LDAP genérica ( link ).