谁能描述/概述在大型异构环境中使用 Kerberos 或 LDAP 进行身份验证的相对优点？

LDAP 身份验证是集中式身份验证，这意味着您必须使用每个服务登录，但如果您更改密码，它会随处更改。

Kerberos 是单点登录 (SSO)，这意味着您只需登录一次即可获得令牌，而无需登录其他服务。

有一个权衡：LDAP 不太方便但更简单。Kerberos 更方便但更复杂。安全的东西简单方便。

没有正确的答案。如果您需要 SSO，请使用 Kerberos。其他 LDAP。您还可以考虑将 YP/NIS（通过 IPSEC）用于集中式身份验证。

OpenBSD 安全鹰派放弃了 Kerberos 但制作了自己的 LDAP 服务器这一事实可能会告诉你一些事情......

我们可以透明地在它们之间切换吗？

你不能。好吧，也许您可​​以使用 PAM。但是您的用户会注意到

在可能的情况下，首先使用 Kerberos 身份验证。它是为提供身份验证/授权而构建的，是最安全的选项。整个前提是在不受信任的环境中交换凭据。

LDAP 很容易被错误配置为通过网络以明文形式发送凭据。防止这种情况的一种简单方法是始终使用 LDAPS (TCP636)，因为它将所有流量封装在 SSL 中。LDAP 通常用于临时身份验证/授权，尤其是使用表单身份验证的 Web 应用程序。