Должен ли я управлять группами Linux в LDAP для каждого компьютера?

В настоящее время я использую сервер OpenLDAP, управляющий моими пользователями Linux как элементами posixaccount и posixgroup, например:

dn: cn=shellinger,ou=groups,dc=company,dc=com
cn: shellinger
gidNumber: 5001
objectClass: posixGroup
objectClass: top

dn: cn=shellinger,ou=people,dc=company,dc=com
cn: Simon Hellinger
uid: shellinger
uidNumber: 5001
gidNumber: 5001
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: top
...

Прямо сейчас, помимо основных групп, членство в группе Linux управляется локально на каждой машине. Это работает, но я думаю, что это противоречит цели централизованного управления пользователями.

Что я считать Я хочу назначить своим пользователям разные наборы групп в зависимости от того, на какой машине они входят. Как правило, у моих пользователей есть полезный бизнес на всех моих машинах, поэтому я считаю, что ограничения на вход в систему (на основе хоста или определенной группы) слишком грубые для моего варианта использования. Я хочу ограничить то, что они могут делать на каждой машине, если они вообще могут войти в систему; и, по моему мнению, это означает, в какие группы Linux они входят.

Кроме того, эти группы (и, как таковые, разрешения) могут сильно различаться для каждого пользователя на каждой машине, человек с правами суперпользователя на одной машине может быть обычным пользователем на следующей.

Говоря языком непрофессионала, это звучит как групповое назначение на основе ролей, но после того, как я бросил весь свой словарь LDAP в Google и serverfault, я все еще не мог понять это.

Подводя итог, можно задать следующие вопросы: допустим ли мой вариант использования? Правильно ли я поступаю? Должен ли я вообще управлять группами Linux в LDAP?