AS
reOpenLDAP - сервер, тут всё очевидно.
nslcd - локальный демон, который ходит в LDAP, а уже к нему обращается pam_ldap.
phpLDAPAdmin - веб-интерфейс, который несложно (без PHP!) конфигурится под сущности, группы и т.д. именно твоего бизнес-процесса.
На клиенте ставишь только nss_pam_ldapd + его конфиг.
На сервере[-ах] - reOpenLDAP, веб - по необходимости.
Содержимое сервера можно бэкапить и провизить текстовыми LDIF-файлами (=здравствуй, git!)
Структура дерева - такая, какую захочешь (ну или минимизирующая поиск).
HA поддерживается «искаропки» (то бишь просто два сервера прописываешь в конфиге, fallback на стороне клиента работает норм).
Сложно? Зависит от навыков, умений и желания понимать, что конкретно происходит в каждом компоненте. Однако затыков, подобных тому, что в sssd, я не видел.
Но, справделивости ради, нужно поправить idle-таймаут на клиенте: по умолчанию там вроде большой был -> сама система отрубает соединение через два часа, и эта ситуация толком не обрабатывается.
nslcd - локальный демон, который ходит в LDAP, а уже к нему обращается pam_ldap.
phpLDAPAdmin - веб-интерфейс, который несложно (без PHP!) конфигурится под сущности, группы и т.д. именно твоего бизнес-процесса.
На клиенте ставишь только nss_pam_ldapd + его конфиг.
На сервере[-ах] - reOpenLDAP, веб - по необходимости.
Содержимое сервера можно бэкапить и провизить текстовыми LDIF-файлами (=здравствуй, git!)
Структура дерева - такая, какую захочешь (ну или минимизирующая поиск).
HA поддерживается «искаропки» (то бишь просто два сервера прописываешь в конфиге, fallback на стороне клиента работает норм).
Сложно? Зависит от навыков, умений и желания понимать, что конкретно происходит в каждом компоненте. Однако затыков, подобных тому, что в sssd, я не видел.
Но, справделивости ради, нужно поправить idle-таймаут на клиенте: по умолчанию там вроде большой был -> сама система отрубает соединение через два часа, и эта ситуация толком не обрабатывается.
Скринсейвер на ноутбуке не в офисе без сети?