O Samba v.3 é capaz de ser um controlador de domínio estilo NT4. Se você tivesse um servidor AD em execução no Exchange, isso não seria bom o suficiente.
O Samba v.4 será capaz de ser um controlador de domínio no estilo do Windows 2003, mas ainda não está pronto. Não de longe.
A próxima pergunta seria: você tem algum cliente Windows? Se assim for, você tem um problema. O Windows não é tão conectável quanto o Linux. Embora seja possível alterar um determinado arquivo DLL (esqueci o nome) para autenticar em um KDC genérico, o Windows foi criado para funcionar com o AD e com o AD sozinho. Qualquer outra coisa requer alterando dll do sistema Windows. Isso é uma merda.
Se você não tiver nenhum cliente Windows, fica muito mais fácil. Você pode facilmente substituir o Windows AD por uma solução combinada Kerberos / LDAP. Os pacotes Kerberos kdc (Key Distribution Center) estão em todas as distros. Os servidores LDAP estão disponíveis em muitos formulários diferentes. O servidor OpenLDAP está na maioria das distros. Uma ferramenta de gerenciamento baseada em GUI para o seu diretório LDAP está disponível a partir de muitos servidores LDAP de código aberto, como o 389 e eu acho que o Apache DS também.
Mencionei o projeto FreeIPA neste contexto em outro segmento como uma solução integrada, mas é somente para Linux.
Então, para encurtar a história: você ainda tem clientes Windows em sua rede?
Edit: Aparentemente não. Então, construa você mesmo um KDC, pegue uma cópia do 389 DS e você está pronto para ir. Em seguida, você precisará fazer alguns scripts LDAP para obter informações do usuário do controlador de domínio e inseri-las no servidor LDAP. Eu não acho que você pode migrar as senhas dos usuários, você provavelmente terá que redefini-las.