> И тут мы вспоминаем, что крупнейшие корпорации не используют AD: Apple, Google, IBM, и т..д

Крупные транснациональные ИТ-корпорации создают с нуля для себя не только каталоги, но и целые ОС и железо.
Не понятно как такое применяется, например к крупному Retail-у или производству на заводе. У заводов и ритейлов нет консьюмерского рынка по продаж ИТ-услуг, у них другой бизнес. ПО в таком бизнесе преимущественно разрабатывается для задач MDM, то есть это SAP, 1C, AXAPTA и прочие. Тёплое с мягким не сравниваем. То что гуглу не нужно AD это вообще ничего не значит.

> Kerberos в бэкенде тоже LDAP использует, а не из астрала берет данные...

Я уже писал выше, что это совсем не та проблема о которой стоит заботиться. В каталогах которых много разных приложений и когда производительность самого каталога имеет высокое значение и так много всего "замедляющего" в схеме. Поддержка просовывания атрибутов прямо внутрь билетов Kerberos (это функционал 5-й версии протокола) приводят чуть ли не к удваиванию требуемы ресурсов, чтобы сохранить производительность, а некоторым и это нужно.

Скорость АУТЕНТИФИКАЦИИ (хватит уже путать её с авторизацией) пользователя по Kerberos - это не повод выковыривать из схемы OU. Кроме того она не часто происходит, если у вас ОС поддерживает Kerberos. В Linux безотносительно FreeIPA/AD вы не можете предъявить закешированный TGT для получения TGS, поэтому если у вас много сервисов завязанных на Kerberos... Самый лучший способ ускорить это всё избавиться от Linux как от ОС на рабочих станциях. Это сократит вдвое количество запросов к KDC и прекратит насилие над пользователем постоянными переспрашиваниями логинов и паролей по 10 раз на дню. И никакая FreeIPA не решит эту проблему, потому что она не там. Чтобы решить это в Linux нужно выкинуть PAM, потому что эта подсистема не способна by-design понять некоторые вещи.

> Что мешает к Configuration привязывать группы?

В основном имеющаяся схема и здравый смысл.
> Синхронизация групп даже здесь будет проходить быстрее.

Да всем начхать на эту скорость, если функционал не подходит. Синхронизация AD притянет не только пользователей но и чужие группы. Таков Exchange, он использует и группы безопасности и группы рассылки для работы с почтой и куча других сущностей каталога, а не только пользователей. Синхронизация притянет много всего и OU выступает в роли контейнера. А ты предлагаешь пихать группы в группы, когда группы имеют одинаковые названия а потом этой кашей рулить? Так никто не делает и не будет делать. Вот за такой вот бред FreeIPA и всё её сообщество не во что не ставят.