Você pode fazer isso com bastante facilidade. Você precisa pré-formatar todas as etapas para configurar os usuários para autenticar no Linux via AD (configuração KRB, unindo o domínio), até o bot NÃO incluindo as alterações do PAM. Então você acabou de definir o SAMBA para usar o winbind como a fonte de autenticação. Aqui está uma cópia antiga de um smb.conf que usei para obter o mesmo efeito:
#======================= Global Settings =====================================
[global]
# Domain Authntication Settings
workgroup = <my domain>
server string = <Sever String>
security = ads
passdb backend = tdbsam
realm = <mydomain.com>
client use spnego = yes
ldap ssl = no
# logging
log level = 5
max log size = 50
# logs split per machine
log file = /var/log/samba/%m.log
# max 50KB per log file, then rotate
; max log size = 50
# User settings
username map = /etc/samba/smbusers
idmap uid = 10000-20000000
idmap gid = 10000-20000000
idmap backend = ad
; template primary group = <ad group>
template shell = /sbin/nologin
# Winbind Settings
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind netsted groups = Yes
winbind nested groups = Yes
winbind use default domain = Yes
#Other Globals
unix charset = LOCALE
server string = <my server name>
load printers = no
printing = cups
cups options = raw
; printcap name = /etc/printcap
#obtain list of printers automatically on SystemV
; printcap name = lpstat
; printing = cups
#============================ Share Definitions ==============================
[share]
comment = <share comment>
path = /srv/smb/share
guest ok = yes
valid users = "DOMAIN+testUser"
read only = yes
Além disso, se você estiver usando o Ubuntu, há um bug na versão que estava no 10.04LTS até alguns meses atrás que quebrou completamente essa configuração (nobody can auth) - pegue uma versão do site SAMBA se isso é o caso