Взгляните на Draytek (http://www.draytek.com), они делают маршрутизаторы Сохо, которые соответствуют Вашему описанию, они также имеют и консоль и веб-конфигурацию и чрезвычайно эластичны.
Если бы они не предлагают то, что Вы хотите, я перешел бы прямо к Cisco, но это увеличит цену, конечно,
Я не думаю, что есть какой-то простой способ сделать это с помощью кода kerberos MIT. С heimdal это тривиально, поскольку del_enctype - одна из команд kadmin.
Насколько мне известно, единственный способ сделать это со стандартным MIT - это сбросить базу данных kdc, удалить неправильные типы ключей и перезагрузить базу данных. Поскольку ваше внутреннее хранилище - это OpenLdap, если у вас есть доступ к корневому DNS-серверу ldap, вы можете найти отдельные значения ключей в базе данных ldap и удалить их.
Схема приведена здесь
http://k5wiki.kerberos.org/wiki/Kerberos.schema
Мне непонятно, можно ли определить enctype этого без расшифровки с помощью мастер-ключа.
attributetype ( 2.16.840.1.113719.1.301.4.39.1
NAME 'krbPrincipalKey'
EQUALITY octetStringMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.40)