Configurar domínio LDAP
Ao usar um domínio LDAP, todas as solicitações de autenticação para qualquer máquina são redirecionadas para o controlador de domínio. Até onde sei, algumas distribuições Linux podem entrar em um domínio do Windows, se você já tiver uma ativa. Com isso você tem controle centralizado total sobre todos os usuários da rede. Você pode adicionar e remover usuários imediatamente de uma única máquina.
Prós:
- Mais fácil de manter
- Efeito imediato do gerenciamento de usuários
- Muito útil e barato se você tiver um domínio já ativo na sua empresa
- Integrado com software de gerenciamento de domínio comum (ou seja, se você usa o Windows)
Contras:
- Se o controlador LDAP não estiver em cluster, isso seria um ponto único de falha, portanto, é necessário levar em consideração mais servidores
- (continuação) Os servidores extras para LDAP e cluster tornam a solução mais cara
- Levemente difícil de configurar se você não tiver um controlador de domínio já em execução
-
AFAIK você não pode usar autenticação de chave pública
Distribuir chaves SSH de uma máquina centralizada
Isso é muito útil quando você deseja usar uma autenticação mais strong com chaves públicas. Você pode carregar todas as chaves dos usuários em uma única caixa que executa um trabalho Cron scp
as pubkeys para os diretórios home corretos em determinados intervalos de tempo
Prós:
- tolerante a falhas. Qualquer número de servidores pode falhar, mas as máquinas disponíveis não serão afetadas
- Mais fácil e mais barato de configurar
Contras:
- Se você tiver mais de "cinco" usuários, ou seja. você está trabalhando em uma grande rede corporativa, o gerenciamento de usuários é extremamente difícil
- (continuação de cima), criação de usuário, exclusão, etc. deve ser feito para cada servidor, geralmente com um script que replica comandos
- As chaves públicas são atualizadas em atraso se você não executar manualmente o script
Monte os diretórios iniciais em uma unidade de rede compartilhada (NFS, SSHFS ...)
Isso tem a vantagem dos efeitos em tempo real da modificação de chaves públicas (uma vez que são sempre lidos do compartilhamento de rede). Além disso, se você fizer /etc/shadow
um link simbólico para uma unidade compartilhada, você tem gerenciamento de usuário em tempo real do seu controlador
Prós:
- Não são muitas, exceto modificações em tempo real
- O diretório inicial inteiro é compartilhado entre os servidores (geralmente é útil, acredite ...)
Contras:
- Falha tolerante como o domínio LDAP. Você precisa replicar os diretórios pessoais ou não pode autenticar
- Mais complicado que as soluções para configurar e manter