kerberos - выбор api

IMHO, gssapi лучше всего. Под оффтопик МИТ выпускает Kerberos-for-Windows. Можешь посмотреть как клиентская часть реализована в Thunderbird1.5 - причём у неё есть серьёзные проблемы именно с нативным SSPI под Windows. С МИТ-овскими библиотеками работает прекрасно. Недостаток - требуется получать отдельный TGT или конвертировать тот, что уже имеется в кэше SSPI.
SASL, конечно проще (особенно с механизмом GSSAPI), но его сложно отлаживать, если есть желание использовать все возможные механизмы.

точно есть kerberos для оффтопика я знаю. я всегда не понимал обрисованную тобой проблему с кэшами тикетов. как я понимаю, в оффтопике существует два кэша - митовский и нативный, а какими средствами возможно их конвертация? и еще вопрос если я буду писать на нативном апи, то запустятся ли эти приложения на оффтопике?

>какими средствами возможно их конвертация

Возле мит-кербы лежит конвертор. Только его собрать трудно - требует поставить какой-то большой девелоперский пакет от МС.

Ну, вообще-то, я не очень понимаю, в чём может быть проблема с нативным керберосом (хотя я сам это не пробовал). МИТ предлагает krb5_32.dll, скорее всего, для того, чтобы её использовали. Те если линковаться именно с этой библиотекой, то Kerberos-АPI должен работать.
С кэшами проблема в том, что, по-видимому, МИТ Керберос не умеет пополнять кэш SSPI. Ему проще один раз конвертировать его в свой собственный кэш и потом работать с ним. Кэши действительно разные - кэш SSPI всегда находится в памяти, а кэш МИТ либо в памяти (но другой), либо в файле. Вроде бы в последней версии KfW они предлагают утилиту для обратного конвертирования, но я не пробовал её в работе. Консольные конверторы называются ms2mit и mit2ms, они входят в состав KfW и первый из них точно работает. Пользователь может также импортировать М$-кэш с помощью менюшки в Leash32.
Я пошарил в google на тему оффтопичных приложений которые используют нативный Kerberos. По-видимому, среди таких только ktelnet.exe. Остальные всё-же предпочитают gssapi.