Я ищу возможные существующие решения для централизованного управления пользователями. Большая часть документации, найденной в Интернете, относится к LDAP (в частности, Active Directory), но я хотел бы знать, есть ли другие альтернативы, которые могут лучше подходить для результата, которого мы хотим достичь.
Текущая ситуация
В настоящее время в нашей компании работает около дюжины серверов, некоторые из которых являются «голыми», наиболее виртуализированными (VMWare). Большинство из них - это Windows Server, но некоторые также и Linux. У нас в отделе 2 сети (DMZ и частная), не каждый сервер подключен к обеим сетям. На данный момент мы установили отдельные учетные записи пользователей для всех на каждом сервере (если им нужна учетная запись на этом сервере, не всем требуется доступ ко всем из них) с их индивидуальными разрешениями. Наши пользователи могут входить в систему через удаленный рабочий стол, SSH или через Microsoft SQL Server в зависимости от типа сервера, с которым мы имеем дело. Клиентские компьютеры, которые наши сотрудники используют для входа на серверы, уже находятся в конфигурации LDAP, которую мы не можем использовать для наших серверов. (Этот LDAP поддерживается за пределами нашего отдела). Проблема с этой настройкой заключается в том, что теперь, когда к нам приходит новый сотрудник или, что чаще, внешний консультант, мы должны вручную создавать учетную запись пользователя на каждом сервере и устанавливать для них необходимые разрешения. В результате некоторые менеджеры серверов даже не беспокоятся и просто используют учетные записи администратора.
Желаемая ситуация
Учетные записи пользователей создаются один раз для всего парка серверов и назначаются группам пользователей, через эти группы пользователей пользователь автоматически получает производные права пользователя на всех соответствующих серверах. Затем пользователи могут входить на серверы со своим именем пользователя и паролем через удаленный рабочий стол, SSH или SQL Server (доступ к SQL Server можно связать с группами пользователей Windows). Предпочтительно учетные записи администраторов будут заблокированы, а серверы останутся доступными / работоспособными при выходе из строя центрального сервера управления пользователями.
Что я хотел бы знать
Я хотел бы знать, какие различные технологии (не конкретные продукты) существуют для достижения этой цели и, если возможно, каковы их плюсы и минусы. Некоторые технологии, с которыми я столкнулся, - это Puppet и Metadata, но они не кажутся мне подходящими решениями. Хотя мне трудно поверить, что Active Directory - единственное существующее рабочее решение. Но, конечно, если это так, хотелось бы знать почему :).