Если Вы хотели попробовать что-то немного от стены, Вы заставляете .ssh/authorized_keys2 быть именованным каналом и записать сценарий/программу, который запрашивает LDAP, выполняет надлежащую фильтрацию и затем выкладывает содержание authorized_keys ключи. Я предлагаю authorized_keys2, так как Вы уже, вероятно, используете authorized_keys.
Необходимо было бы быть осторожными со сценарием (часы для блокирования записей, знать, когда сделать новый запрос, и т.д.), но это даст Вам, право отвечает каждый раз, если Вы сделали его правильно.
Если у вас нет центра сертификации в вашей среде нет, вам необходимо приобрести сертификат SSL. Любой из крупных розничных продавцов может сделать это от Verisign (дорого) до Thawte или GeoTrust.
В качестве альтернативы вы можете сгенерировать самоподписанный сертификат с помощью IIS и установить этот сертификат на всех компьютерах, которые будут иметь доступ к вашему шлюзу. Это требует от вас много работы, большая часть которой стоит 50–100 долларов за год SSL.
Если компьютеры, которые подключаются к шлюзу, являются членами вашего домена или иным образом находятся под вашим контролем, вы можете сгенерировать сертификат с помощью служб сертификации AD. Компьютеры домена автоматически доверяют ему. Компьютеры, не принадлежащие домену, должны будут добавить его в свои хранилища сертификатов.
В противном случае вам нужно будет купить сертификат в общедоступном центре сертификации. И нет, это не будет бесплатным.