NFS Sicherheit bei Rootrechten auf Client

Hallo, bin seit wenigen Tagen stolzer Besitzer einer DS212J und sehr glücklich, dass es hier so ein prima Forum gibt!

Zu meiner Frage: Die Home-Verzeichnisse in meinem Heimnetzwerk werden ganz wunderbar über nfs/automount an die Linux-Clients verteilt. Solange niemand auf den Clients Root-Rechte hat, sind die Zugriffsrechte auch klar geregelt, weil ich auf allen Clients die uid's gleich aufgesetzt habe.

Sobald ich aber irgendwann mal für meinen Junior die Spielwiese des Administrierens freigebe kann, er sich ja nach belieben lokal als root einen neuen Account mit meiner uid anlegen und hat den vollen Zugriff über NFS auf alle Dateien.

Ich habe folgende Fragen:

• Gilt generell, dass NFS in der einfachen Form nur dann sicher ist, wenn auf den freigegebenen IP-Adressen niemand Root-Recht hat?
• Wenn ich auf der DS einen LDAP-Server zur zentralen Nutzerverwaltung aufsetze, nützt das erst einmal gar nichts, weil ich auf den Clients als Root ja wieder einen lokalen Account aufmachen kann.
• Über Kerberos würden die Passwörter beim NFS-Mount zwischen Client und Server abgeglichen werden, oder? Damit wäre Kerberos wohl die einzige Möglichkeit, die DS so aufzusetzen, dass nur den Usernamen und Passwörtern wie sie auf der von mir allein administrierten DS gelten, zugegriffen werden kann, oder sehe ich da etwas falsch?
• Mein NFS mit automount habe ich in einer halben Stunde laufen gehabt. Die Geschichte mit NFS4 und Kerberos scheint mir aber eine anderen Nummer zu sein. Sehe ich das richtig, dass das Thema ganz schön komplex ist und für ein Heimnetzwerk Overkill ist? Gibt es noch irgendeinen anderen Weg, um unter Linux elegant die Berechtigungen und dir Azuthentifizierung auf den Clients "durchzusetzen"?
• Kerberos läuft doch nur unter NFS 4, oder? Bietet die DS eigentlich NFS 4 an?