Eu uso algo semelhante à sua "Opção 2" - uma configuração LDAP (pam_ldap / nss_ldap) em que cada classe de servidor tem um grupo no LDAP (db, web, etc.) e os membros desse grupo são permitidos para efetuar login nessa classe de servidor. Essa é a mesma sobrecarga que os netgroups, mas funciona bem porque nossas listas de usuários são relativamente estáticas (você tem acesso a uma lista de máquinas e esse acesso é praticamente para sempre).
Não permitimos logins de console para usuários LDAP (somente as contas de serviço de emergência e raiz podem fazer login localmente e essas senhas são cuidadosamente protegidas), portanto, as restrições específicas do ldap só precisam ser aplicadas ao sshd em nosso caso.