Eu quase não respondi porque o post de acompanhamento parecia um post de 'bump'.
Você pode obter senhas semelhantes a AD sem ingressar no domínio por meio do pacote pam_smb. Apenas faz a verificação de senha e não verifica grupos, GPOs, nada. Nós usamos isso no passado, e ele coexiste bem com outros métodos de autenticação, e até autentica através de uma VPN (por exemplo, vtun) em uma caixa de anúncios remota distante.