ldap — Как проверить членство в группах с помощью единого входа Kerberos в Stack Overflow

У меня есть веб-сайт стажера с простым окном входа в систему, в котором вы должны войти, прежде чем вы сможете получить доступ к сайту. Этот логин работает с PHP и ldap, вы должны войти с вашими учетными данными AD.

Теперь я должен реализовать Kerberos для единого входа. Я уже установил необходимые модули на веб-сервере и настроил все. Единый вход работает, я могу получить пользователя с $_SERVER['REMOTE_USER'],

Не всем стажерам разрешено иметь доступ к веб-сайту. Из-за этого существуют разные группы пользователей AD для обработки разных прав доступа. С помощью ldap легко проверить, является ли пользователь членом определенной группы. Но как я могу сделать это с Kerberos? Мне все еще нужно использовать ldap или есть Kerberos некоторые встроенные функции, чтобы сделать это?