Kerberos contra LDAP para la autenticación, cuál es más seguro

Donde sea posible, use la autenticación Kerberos por encima de todo lo demás. Fue creado para proporcionar autenticación / autorización y es la la opción más segura . Toda la premisa es intercambiar credenciales en un entorno que no es de confianza.

LDAP se puede configurar fácilmente para enviar las credenciales en texto sin cifrar a través de la red. Una forma fácil de evitar esto es usar LDAPS (TCP636), ya que encapsula todo el tráfico en SSL. LDAP se usa a menudo para la autenticación / autorización ad hoc, especialmente para aplicaciones web que usan la autenticación de formularios.

  

¿Puede alguien describir / delinear los méritos relativos de usar Kerberos o LDAP para la autenticación en un gran entorno heterogéneo?

La autenticación LDAP es una autenticación centralizada, lo que significa que tiene que iniciar sesión con cada servicio, pero si cambia su contraseña, cambiará en todas partes.

Kerberos es un inicio de sesión único (SSO), lo que significa que inicia sesión una vez y obtiene un token y no necesita iniciar sesión en otros servicios.

Hay un compromiso: LDAP es menos conveniente pero más simple. Kerberos es más conveniente pero más complejo. Las cosas seguras son simples y convenientes.

No hay una respuesta correcta. Si necesita SSO use Kerberos. Else LDAP. También podría considerar YP / NIS (sobre IPSEC) para authn centralizado.

El hecho de que los halcones de seguridad de OpenBSD eliminaron a Kerberos pero hacen su propio servidor LDAP podría decirle algo ...

  

¿Podemos cambiar entre ellos de forma transparente?

No, no puedes. Bueno, tal vez puedas con PAM. Pero tus usuarios se darán cuenta