Existe uma solução para isso. É chamado KerberosV5. Faz tudo o que você precisa, e há um bom suporte de dispositivos Windows, Linux, Unix e de rede. Dê uma olhada nisso.
Estou tentando encontrar uma maneira de centralizar o gerenciamento de usuários & autenticação para uma grande coleção de Windows & Servidores Linux, incluindo dispositivos de rede (Cisco, HP, Juniper). As opções incluem RADIUS / LDAP / TACACS / ... A ideia é acompanhar as mudanças na equipe e o acesso a esses dispositivos.
De preferência, um sistema compatível com o Linux, o Windows & esses dispositivos de rede. Parece que o Windows é o mais teimoso de todos, para Linux & Equipamento de rede é mais fácil de implementar uma solução (usando o PAM.D, por exemplo).
Devemos procurar uma solução do Active Directory / Domain Controller para o Windows? Diversão sidenote; Também gerenciamos sistemas clientes, que geralmente já estão em um domínio. As relações de confiança entre os controladores de domínio nem sempre são uma opção para nós (devido a restrições de segurança do cliente).
Adoraria ouvir novas ideias sobre como implementar um "portal" de autenticação centralizado para esses sistemas.
Muitas coisas podem ser autenticadas diretamente em um domínio do AD usando kerberos.
Você pode gerenciar a autorização usando o ldap, se você habilitar ligações anônimas nos servidores do AD.
Você também pode configurar um servidor AD para também ser um servidor NIS. Eu estou no meio de fazer isso, e isso não parece trivial, mas também não parece muito difícil. O NIS + Kerberos resolve perfeitamente o problema de sistemas antiquados que podem não ter módulos pam_ldap diretamente.
Por fim, você pode usar um servidor AD como um servidor RADIUS, que resolve de maneira simples o problema "acesso a dispositivos aleatórios de rede / RAS".
Sou principalmente um cara unix, e muita configuração que você precisa fazer em um servidor AD para fazer isso é frustrante, mas é muito difícil discutir com o Uma parada de compras você começa com AD. A Microsoft pode ter tido muitos problemas ao longo dos anos, mas o Active Directory é uma tecnologia realmente fantástica.
Obrigado pela resposta no Kerberos V5, que definitivamente parece promissor.
Outra ferramenta, da própria Microsoft, é o Forefront Identity Manager (FIM), que permite identificar o gerenciamento sem colocar os servidores em um domínio.
Tenho receio de postar uma sugestão para uma ferramenta comercial, mas aqui vamos nós ... "BoKS Access Control" da FoxT oferece controle refinado sobre contas de usuários e permissões de acesso de rede para Unix, Linux, VMWare e Sistemas Windows.
Infelizmente, ele não suporta equipamentos de rede.