Лучшие практики: управление пользователями Unix с помощью LDAP + Kerberos?
Я использую небольшую локальную сеть для 5 пользователей с некоторыми базовыми службами, например, монтированием NFSv4 и ПО для групповой работы SOGo. Поскольку эта идея казалась хорошей и простой для реализации, аутентификация представляет собой комбинацию Kerberos (с бэкэндом LDAP) и авторитетных данных пользователя (домашний каталог, оболочка и т. Д.) В OpenLDAP. При наличии всего 5 пользователей использование браузера LDAP и инструмента командной строки kadmin для добавления новой учетной записи пользователя было очень простым. Сейчас среда растет и включает пользователей, не особо разбирающихся в технологиях; такие задачи, как ограничение срока действия учетной записи, теперь возникают чаще.
Прежде чем это станет серьезной проблемой, я подумал, что поищу передовые методы сочетания LDAP + Kerberos для управления пользователями. Кроме - я не нашел! Я не могу представить себе людей, использующих сценарии или использующих Active Directory (особенно в чистой среде Unix)? Нет ли способа управлять пользователями в этом сценарии с помощью инструмента, подобного useradd / userdel / usermod ?
Я действительно подумываю о настройке Active Directory - хотя в чистой среде * nix лучшим выбором для этого будет samba AD: https://wiki.samba.org/ index.php / Setting_up_Samba_as_an_Active_Directory_Domain_Controller
Другой вариант хотел бы (ab)) использовать инструмент управления конфигурацией, который работает с желаемым состоянием (CF Engine, Chef, Puppet), определять пользователя через это и возвращаться к аутентификации пользователя на основе ключа.
FreeIPA - одно из популярных решений для создания среды Kerberos + LDAP.
FreeIPA https://www.freeipa.org/page/Main_Page
Как следует из названия, это бесплатно, с открытым исходным кодом и спонсируется RedHat.