Samba PDC Kerberos

Возникло несколько вопросов по реализации NT-домена на samba.

Из официального howto и некоторых мейл-конференций с разработчиками понятно, что samba не может играть роль ActiveDirectory-сервера (Samba-3 is not, and cannot act as, an Active Directory server).
Вместе с тем, в том же самом howto расписываются все прелести систем Single sign-on, который, как я понимаю, в NT-домене зиждется на Kerberos.

Могу ли я поставить на свой Samba PDC тот же Heimdal KDC, потом на Linux-клиенте настроить Winbind так, как я бы это делал при имеющимся Windows PDC? Сейчас напрямую используется LDAP (plain text).
В Samba4 KDC, как и LDAP-сервер, интегрирован в один программный пакет. Это просто супер, что не нужно будет строить по кирпичикам такую сложную систему.

Я понимаю, что Windows-клиенты не смогут использовать мой KDC (по каким-то «особенностям» в реализации Kerberos в ADS). Ну и фиг с ними.

Если я прав, то чем такой сервер - не Active Directory Server? Красивые административные консоли (ADSI) для управления каталогом и групповыми политиками (которые, по-моему, представляют из себя простые файлы реестра Windows и которые можно разместить в smb-шарах) я в расчёт не беру?

Почему, при отсутствии KDC на моём Samba PDC Winbind (точнее, winbind-модуль NSS) всё равно подцепил доменных пользователей? Или это не противоречит логике работы домена? Список пользователей (компьютеров и др. dn) публичен и запрашивается Winbind-ом напрямую у PDC?

Очень много «по-моему» и «как мне кажется», поэтому прошу не пинать. Материал большой...по-моему.