Vlákno názorů k článku
Windows v příští verzi zakáže ve výchozím stavu autentizaci NTLM od Pavel Píša - Především by mě zajímalo, jestli je a nebo...

Především by mě zajímalo, jestli je a nebo bude možné Windows autentizovat proti jiným než MS implementacím Kerberos nebo jestli je to zase embrace, extend, and extinguish podle MS Halloween documents.

Pokud pak je šance se dostat ze zajetí MS Entra ID, tak mě zajímá jestli s tím někdo má zkušenosti a mohl by poradit alternativy. Na naší fakultě je rozjetý Passkey a Keycloak pro přihlašování do webových služeb, tak by mě zajímalo, jestli by šlo časem použít tyto projekty a další ID management otevřené komponenty pro plnou náhradu za MS v USA monitorované a z USA plně průchozí služby.

Samba podle všeho podporuje dvě implementace Kerbera: https://web.mit.edu/kerberos nebo https://www.h5l.org

Ano, jde to, ale mnoha omezeními: https://blog.dan.drown.org/kerberos-for-windows-without-ad/

Efektivně v tomto módu řeší Kerberos jen autentizaci, ale ne třeba account management (je potřeba preexistující lokální účet, na který se to namapuje).

Já to obešel implementací vlastního credential providera nad tím: https://codeberg.org/regnarg/krb-cred-provider (který mj. řeší vytváření těch účtů)
Používáme v produkci na 200+ PC. Není to dokonalé, ale nějak to jede. Funguje i SSO po přihlášení do Windows např. na webové služby, když se správně nakonfiguruje prohlížeč.

Plus nemáte roaming profiles, to si musíte taky vyřešit po svém (ale popravdě standardní MS implementace je dost tragická anyway).