Experimente as configurações de smb.conf
:
-
ldap ssl = start tls
-
ldap ssl ads = yes
infelizmente eu nunca tentei eu mesmo.
Acho que você não precisaria reforçar explicitamente a criptografia para winbindd. Se você entrou no domínio e criou um keytab do kerberos, o winbindd é capaz de se conectar ao LDAP no AD DC com uma autenticação SASL / GSSAPI que é bastante segura. A maneira keytab é a que eu tentei e acho que é mais confiável (e é bonita a configuração simples de baunilha).