Como você mencionou a integração da sua autenticação, bem como os serviços de rede, como o NFS, recomendo o FreeIPA Server. Ele é projetado para clientes Windows, mas existem ferramentas que o suportam (no entanto, eles são correções de bodge).
O FreeIPA contém um Kerberos KDC e um servidor LDAP, além de administrar sua autenticação NFS e automontagens. Você pode controlar o acesso do sudo a todas as máquinas. Eu acho que o próprio servidor requer um Enterprise Linux Host, mas você poderia rodar isso em uma VM em sua máquina FreeBSD. Parece apoiar Clientes do FreeBSD de alguma forma.
O FreeIPA é uma solução corporativa para serviços pesados, mas faz tudo o que você quer e é consideravelmente mais fácil de configurar do que o OpenLDAP sozinho.
Quanto aos clientes do Windows. O método preferido no FreeIPA é configurar um SAMBA AD DC e criar uma relação de confiança entre ele e o FreeIPA, que é discutido aqui . No entanto, se você não quiser que hastle, você pode ativar a autenticação Kerberised em clientes Windows, conforme explicado na mesma página.
Espero que isso ajude.