-
O Linux (como o Windows com AD) tem a capacidade de armazenar em log logins bem-sucedidos e pode usar esse cache no caso de uma interrupção LDAP (isso é feito via SSSD ou nscd - se você estiver no RHEL / CentOS / Fedora , Eu recomendo usar SSSD). Naturalmente, isso funciona somente se o usuário tiver efetuado login com êxito recentemente nessa máquina. Além disso, é claro, isso não funciona para serviços que não usam o PAM, mas que usam um servidor LDAP diretamente para autenticar, por exemplo, algum serviço da web.
-
Adicionando replicação em uma configuração tão simples não é muito difícil e eu não acredito que acrescenta muita complexidade, mas a resiliência adicionada vale bem o esforço na minha opinião.
- Ter um usuário local em funcionamento com
sudo
direitos é obrigatório na minha opinião, mesmo com o cache (no mínimo, se você ativar o login raiz via ssh). - Se os usuários perceberem que uma diferença depende da implementação do cliente. Com o PAM e o armazenamento em cache, os usuários nem notariam, a menos que o usuário não esteja no cache (o que seria uma senha incorreta até você examinar os logs).