Sim, o Puppet é o jeito certo de fazer isso, e a partir dessa outra pergunta, a Opção 3 parece ser a mais sensata (além de ser a resposta aceita [sempre um bom sinal!]).
Existe um módulo ssh_key para fantoches que torna tudo trivialmente fácil.
Eu estou olhando para mudar de baseado em senha (que eu comecei a ficar sobrecarregado com) para sistema baseado em chaves SSH.
Gostaria de saber se existe algum sistema de gerenciamento de chaves SSH ou solução de servidor, o que me permitiria distribuir e revogar chaves em máquinas?
Ou a melhor abordagem é usar o Puppet para essa tarefa? Se sim, então a abordagem de um único par de chaves por máquina cliente (descrita aqui: Melhor sistema para gerenciar chaves ssh? ) ser o melhor?
O SSH é bom, mas quando você começa a escalar para um grande número de chaves e ACLs, fica feio rápido.
O Kerberos foi projetado para operar nesse tipo de ambiente (muitas ACLs, revogação de chaves, etc.) O gerenciamento de usuários com kerberos é penoso, mas se você tiver um número muito pequeno de usuários, é muito fácil.