[sisyphus] централизованная авторизация в рамках Sisyphus

[Peter V. Saveliev]

...

В рамках сизифа (часть машин под Сизифом, часть под ALM2.4), хочется наладить 
централизованную авторизацию. До сих пор есть опыт юзания LDAP.

Отрицательные впечатление:

1) завязка на dns (ldaps, reverse dns для сертификатов)
2) один сервер авторизации, упал свитч -- пролетели везде
3) постоянные приколы с nss_ldap и pam_ldap

по поводу 2) -- можно сделать тотально реплицирование, это же, возможно, решит 
и 1) -- хочу попробовать, думаю

по поводу 3) -- в последний подход к снаряду из Сизифа у меня перестал 
авторизовывать sshd. Только он, всё остальное нормально -- login, telnetd, 
sudo, samba -- всё работает. А sshd не пускает. Поскольку у меня сейчас две 
таких схемы (с авторизацией через LDAP), и обе рабочих до упора, то 
эксперименты иногда напрягают :| До этого тоже приколов было немало.

Что можно выбрать?

LDAP
Kerberos
NIS
/etc/tcb + rsync

?

Кто что использует _реально_? Не в теории, а на деле? Как с пакетами в Сизифе? 
Какие грабли sisyphus-specific? Посмотрел на Kerberos, ужаснулся (может, 
зря), LDAP уже утомил, NIS, как говорят, одна дыра. Авторизовываться через 
pam_smb и winbind не хочется.

-- 
Peter V. Saveliev