Nginx не обслуживает динамический контент, он может только говорить с некоторым бэкендом, который может быть Apache или процессом FastCGI (который может работать на другом хосте). Если Вы сравниваете Apache с FastCGI, то последнего легче настроить, но первый, вероятно, более универсален. У меня есть впечатление, тем не менее, что для большинства случаев, Nginx/FastCGI достаточно хорош. YMMV.
Mod_auth_kerb не может сделать это, потому что сам Kerberos не может это сделать. Kerberos явно разработан как система аутентификации, но не авторизации. Это означает, что у него вообще нет групп, он просто следит за тем, чтобы человек был тем, кем они себя называют.
Active Directory использует LDAP для хранения и представления членства в группах. Вы можете использовать это, чтобы убедиться, что пользователь, аутентифицированный с помощью Kerberos, является членом определенной группы.
См. Также: 35363