Linux Journal Dec.2005(Issue 140) で
"Single Sign-on and the Corporate Directory"として、MIT-Kerberos と OpenLDAP によるシングルサインオン(SSO)の実装のさわりが書かれている。これは Kerberosのもう一つの実装
HeimdalとOpenLDAPでもできるのであるが、Heimdal の場合は、ログの出力先の制御がうまくできなかったりした(おそらく0.7.2あたりのバージョンで直るだろう)。また、slapdがディレクトリ情報を格納するデータベースはBerkeley DBではなく、もう一歩踏み込んでPostgreSQLあたりにしたいところである。
さらに、LJの記事では、セキュリティの確保のために、認証にSASLとOpenSSLのセッションを利用し、kdc と slapd を別々のサーバマシンで走らせて相互にプロパゲートするらしい。また、Postfix と Cyrus IMAP サーバの設定にも言及している。
こういった具合に、Kerberos と LDAP を実際に実装するには、それぞれが、比較的面倒なアプリケーションだけに結構大変である。この手間を考えると、WinSever2003のActive Directory は、設定のためのGUIからWizardまでが用意されていて、ちょっとした実験(SPNEGOをお試し中)をするにはとても重宝するものだと実感した次第だ。しかし、評価ライセンスが切れるころには、Heimdal と OpenLDAP で実装していると思う。あるいは、すでに実装されていそうな SuSE Linux ディストリビューションあたりを使うという手もありそうだ。