Вообще, я в общем-то уже нашел ответ на вопрос (по крайней мере, некоторое понимание)
Главное - это то, что без LDAP - пользователи домена будут регистрироваться в системе как обычные пользователи Linux (Debian), а LDAP - это отдельная система каталогов, для хранения таких пользователей.
Как-то так.
Все равно спасибо за помощь.
Вообще я пытаюсь вникнуть в суть сутей.
Поэтому у меня еще вопрос возник: Kerberos.
Если поднимать DC на базе самбы4, то какую роль в этом случае играет протокол Kerberos?
Т.е. уточню свой вопрос: роль сервера Kerberos или обычного пользователя?
Если сервер, то почему во всех известных мне инструкциях обязательным является только пакет krb5-user, а не, скажем, krb5-admin-server и krb5-kdc?