Если под SSO вы имеете в виду один пароль в начале дня и ни один, пока вы не уйдете, LDAP не может легко сделать это в одиночку.Он может помочь вам консолидировать пароли, поэтому вам нужно запомнить только один (что хорошо), но вам все равно придется вводить его несколько раз, если вы не выполняете слишком много инженерных разработок.
На самом деле Kerberos может это сделатьSSO.Предостережение, по моему мнению, заключается в том, что приложения должны поддерживать его в определенной степени.
Что касается хранения учетных данных LDAP для Kerberos, я не уверен, что это победа.Я подозреваю, что для того, чтобы быть совместимым с Kerberos, необходимо хранить учетные данные в открытом тексте (и меня нервирует наличие службы, доступной по сети и содержащей пароли в открытом тексте).Мне не ясно, как это лучше, чем база данных Kerberos, хранящая пароль.
Надеюсь, это поможет.Кроме того, мой опыт работы с Kerberos со стороны;Я читал об этом _a_lot_, но никогда не использовал его.