CityCat4

Ну, у меня неуспешный опыт.

«Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

Потому что:
- у TB совершенно другая адресная книга и в ней совершенно другие поля
- TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

То есть:
- открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
- открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
- открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

Поэтому:
- если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
- если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

Как сделано у нас:
- СA на линухе, конкретно у меня на компе
- при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
- на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
- при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
- проблема почтовых групп не решена никак

Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...

LDAP для винды бесполезен. Службу каталогов можно организовать на базе Samba DC - там тоже не все есть, но немного больше и немного проще.

Поднять отдельный домен. Хотя со скриптами тоже потрахаться придется, особенно если переход с почты outlook на TB например.
Проще варианта нет - только нечто самопальное, похожее на огород из костылей. Винда свой домен пилит двадцать лет. Самба прримерно столько же но из-за позиции вечно догоняющей получается... как получается :)

Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...

Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD

Zentyal - это просто сборка "все OSS проекты в одном", где база сделана на самбе.
IPA - отдельная технология, ничего с AD общего не имеющая, зато имеющая много траху при банальном вводе винды в домен.

Я бы начал с тестирования Zentyal - там есть некая веб-морда для админства.

1. Забить на pam_ldap и использовать sss
2. Установить UNIX services for Windows, запустить скрипт, который перенумерует AD и при добавлении донумеровывает их. Это нудновато, но я в свое время даже готовый скрипт написал на vbs. Но мне не понравилась необходимость каждый раз, как добавил юзера - пускать этот скрипт

В бубунте что - apt-get? Ну тогда apt-get install samba4 :) (ну или как там пишется команда установки пакета)

Доков в тырнете - зиллион

UPD: Полноценного AD (в зависимости от того, что ожидаете) можно и не получить.

В винде нет понятия "системный пользователь". От слова совсем. Есть "локальный пользователь", созданный локально на данном компе. Их список наверное можно получить через WMI. Через LDAP можно получить только ответ на запрос от AD - и то, если кредсы на биндинг позволяют его получить.