А нужен ли Kerberos?

Не нужен (ц).

Одно другому не мешает. Heimdal пытается использовать PKI (насколько успешно, я не знаю).

Потом, есть проблема с проверкой подлинности как клиента, так и сервера. Без третьей доверяемой стороны это невозможно. Таким образом Цербер со своим KDC тут весьма в кассу. А с TLS приходится изобретать на коленке что-то похожее с certificate signing authority.

Т.е. если бы SSL изобрели лет на 10 раньше - может быть история пошла бы другим путем. А так на этом месте уже был Цербер, так что приходится крутится. Также с TLS не вполне ясно как организовать парольный single-sign-on.

>Без третьей доверяемой стороны это невозможно.

Но Kerberos это тоже третья сторона ;) Центр сертификации на базе службы безопасности организовать не сложно (при условии что там сидят не бывшие менты). Самое главное, что карточка открытого ключа это очень хороший и универсальный документ. Можно подшить в личное дело сотрудника, и уж в таком случае он не отвертится, типа "Я не я, и лошадь не моя". Не отвертится и СБ, "Сертификат выдавали? Выдавали. Ну так @#$ли?"

>Heimdal пытается использовать PKI

Не вижу сложностей. Сертификат это мандат доступа (credential). По нему выдаем TGT и вперед.

>Также с TLS не вполне ясно как организовать парольный single-sign-on.

А оно в современных условиях нужно? Пароли надо менять, они должны быть достаточно сложными. И в конечном итоге они оказываются записанными на бумажке.

Приклеенной к монитору или заныканной под подставку этого самого монитора.

>>Но Kerberos это тоже третья сторона ;)

В том-то и дело. Но он (KDC) trusted как клиентом так и сервером. А в TLS этой третьей стороной будет или доморощенный self-signed или третья сторона, которая попросит за свои услуги деньги.

>>Пароли надо менять

Ключи тоже надо менять. Как минимум раз в год.

>>Не вижу сложностей.

Это пока не начнешь туда вникать. Kerberos же использует симмeтричное шифрование. Кричать, что это прошлый век, может только тот, кто не использовал Х-протокол через шифрованный с помощью ssh канал.

>А в TLS этой третьей стороной будет или доморощенный self-signed

А чем это плохо? Что за негативное отношение к своим собственным CA?

>Ключи тоже надо менять. Как минимум раз в год.

Пароли много чаще. А юзера не могут придумать пароль который соответствует дефолтной политике виндов.

Кроме того если используются смарт-карты, которые в конце рабочего дня запираются в сейф, то зачем так часто?

>Это пока не начнешь туда вникать.

Может быть, никогда не пробовал.

>Kerberos же использует симмeтричное шифрование.

SSL/TLS вообще-то тоже делают сеансовый ключ...

> А оно в современных условиях нужно? Пароли надо менять, они должны быть достаточно сложными. И в конечном итоге они оказываются записанными на бумажке.

Предлагаю услуги по организации тренингов по технике безопасности, обыски перед началом занятий и татуировка надписей с найденных бумажек паяльником на заднице отличившегося включена в стоимость.

Я не утверждаю, что Kerberos - единственное решение для такой задачи, но другой способ мне неизвестен.

Есть бездисковые станции, на которых надо монтировать /home по NFS. Проблема в том, что пользователю должны быть доступны его и только его файлы. Возможен случай, когда вместо бездисковой станции, к сети подключается полностью подвластный пользователю компьютер (у него есть root-доступ к нему). Тогда он может смонтировать /home с другими UID и GID, в результате чего получить доступ. В случае с krb5 и nfs4 можно настроить систему так, что пользователь будет иметь права nobody, пока не получит ticket от krb5kdc. Чем можно решить такую задачу?