Самба аутентификация и LDAP

У меня есть сервер OpenLDAP, который я использую для аутентификации и авторизации для различных сервисов. Все пользователи имеют тип объекта inetOrgPerson и мои группы groupOfNames,

Теперь я хочу настроить Samba для аутентификации по LDAP (с групповой авторизацией). Я не могу / не хочу использовать samba в качестве контроллера домена, но исключительно в качестве файлового сервера. Я также не хочу отдельно управлять учетными записями пользователей в samba, потому что у меня есть вся необходимая информация в LDAP (имя пользователя, пароль, членство в группах). Я также хочу избежать изменения моего DIT. Насколько я могу судить из моего текущего исследования, я не могу сделать это напрямую, потому что

а) Samba использует свое хранилище учетных данных для аутентификации, то есть мне придется smbpasswd для каждого существующего пользователя LDAP
б) Мои пользователи LDAP должны иметь атрибуты samba

Посмотрев еще немного, я подозреваю, что решением моей проблемы может быть использование Kerberos между samba и LDAP.
У меня нет опыта администрирования Kerberos, поэтому, прежде чем приложить усилия, я хочу уточнить следующие темы:

• Верны ли мои предположения?
• Могу ли я запустить Kerberos' Authentication Server и Центр распространения ключей на одном компьютере и настроить его так, чтобы он обслуживал только выдачу билетов на localhost? (OpenLDAP и samba работают на одной машине)
• Позволит ли использование Kerberos мне сохранить свой DIT без изменений и выполнять аутентификацию / авторизацию исключительно с информацией, находящейся в LDAP?
• Есть ли лучшие / более простые решения?

Я на Ubuntu Server 14.04.

Большое спасибо за любые подсказки заранее