Single Sign-On para openLDAP

En primer lugar, soy bastante principiante en esta área. Se supone que debo encontrar una verdadera solución de inicio de sesión único para múltiples sitios web (que utilizan datos compartidos de usuario y pW de openLDAP) que usamos dentro de nuestra empresa. Significado: inicia sesión una vez y está conectado a todos los sitios supuestos y no tiene que volver a ingresar las credenciales de inicio de sesión una y otra vez.

Leí un poco sobre eso, encontré casi toda la información sobre SSO, diferentes soluciones y la combinación con openLDAP. La mayoría de lo que leí tendía a:> combinar openLDAP con Kerberos. Pero todo lo que he encontrado para esto es bastante avanzado y parece un proyecto de monstruos.

Así que mis preguntas actuales son: ¿es la mejor solución combinar nuestro openLDAP con Kerberos para lograr SSO? ¿Hay otras soluciones que vale la pena mencionar? Y, por supuesto, ¿DÓNDE y CÓMO comienzo?