Я использую небольшую локальную сеть для 5 пользователей с некоторыми базовыми сервисами, например, монтированием NFSv4 и групповым ПО SOGo. Поскольку эта идея казалась хорошей и простой для реализации, аутентификация представляет собой комбинацию Kerberos (с бэкэндом LDAP) и авторитетных данных пользователя (домашний каталог, оболочка и т. Д.) В OpenLDAP. Всего с 5 пользователями, используя браузер LDAP и командную строку kadmin Инструмент для добавления новой учетной записи пользователя оказался очень простым. Теперь среда растет и включает пользователей, не особо разбирающихся в технологиях; такие задачи, как ограничение срока действия учетной записи, теперь возникают чаще.
Прежде чем это станет серьезной проблемой, я подумал, что поищу лучшие практики для комбинации LDAP + Kerberos для управления пользователями. Кроме - я не нашел! Я не могу представить себе людей, использующих сценарии или использующих Active Directory (особенно в чистой среде Unix)? Нет ли способа управлять пользователями в этом сценарии с помощью инструмента, подобного useradd/userdel/usermod?
FreeIPA - одно из популярных решений для создания среды Kerberos + LDAP.
FreeIPA https://www.freeipa.org/page/Main_Page
Как следует из названия, это бесплатно, с открытым исходным кодом и спонсируется RedHat.
Я действительно подумываю о настройке Active Directory - хотя в чистой среде * nix лучшим выбором для этого была бы samba AD: https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller
Другой вариант хотел бы (ab)) использовать инструмент управления конфигурацией, который работает с желаемым состоянием (CF Engine, Chef, Puppet), определять пользователя через это и возвращаться к аутентификации пользователя на основе ключа.