Олицетворение с помощью Kerberos - самый безопасный ответ, а также самый простой для администрирования. Наличие отдельных «искусственных» пользователей при доступе к ресурсам, таким как базы данных, означает, что вы в основном обходите все возможности для авторизации базы данных, получаете дублирующие точки администрирования доступа и получаете нулевую отслеживаемость на уровне базы данных (вы просто видите, что MySyntheticUser пытался получить доступ к чему-то кто за этим стоял).
Сказав это, я должен предупредить вас, что Kerberos от Microsoft не всегда так прост, как вы ожидаете. Мы столкнулись со значительными трудностями, чтобы заставить его работать между чистыми решениями .NET, IIS, SQL Server 2005, доменами AD и Internet Explorer. Большинство из них сводилось к тому, чтобы настроить доверие было правильно. Кроме того, хотя я сам не являюсь разработчиком PHP, я нахожу некоторые признаки , что у вас могут возникнуть проблемы с доступом к функциональности библиотеки Kerberos. Узнайте, какую поддержку вы можете получить для SSPI . Кроме того, ваш PHP-процесс должен иметь необходимые разрешения для олицетворения пользователей, которые, как я считаю, могут администрироваться через IIS.
Я бы не ожидал, что все это будет простым или легким, особенно потому, что у Microsoft мало стимулов для поддержки языков и платформ, отличных от Microsoft.