中央身份验证和带缓存的 /home 存储

Question 1

LDAP 适合此设置。

缓存身份验证

固态存储系统是 pam-ldap 和 nss-ldap 的替代方案，用于缓存密码以供离线使用。但它对存储在 LDAP 中的 autofs 映射没有任何作用。如果您只有一个包含所有主目录的文件服务器，则可以使用 autofs 通配符映射而不必担心它。

Linux 上并没有像 OS X 那样针对此问题的真正交钥匙解决方案。策略是在网络上挂载 nfs 主目录并使用 rsync 定期同步主目录。

農姆看起来像是一个很有前途的交钥匙解决方案，但我不知道它有多稳定。

在 Ubuntu 中，有一个 sudo-ldap 包可让您将 sudo 配置放入 LDAP。没有任何东西会缓存此文件，因此您最好使用配置管理系统分发 sudoers 文件。

Answer

LDAP 适合此设置。

固态存储系统是 pam-ldap 和 nss-ldap 的替代方案，用于缓存密码以供离线使用。但它对存储在 LDAP 中的 autofs 映射没有任何作用。如果您只有一个包含所有主目录的文件服务器，则可以使用 autofs 通配符映射而不必担心它。

Linux 上并没有像 OS X 那样针对此问题的真正交钥匙解决方案。策略是在网络上挂载 nfs 主目录并使用 rsync 定期同步主目录。

農姆看起来像是一个很有前途的交钥匙解决方案，但我不知道它有多稳定。

在 Ubuntu 中，有一个 sudo-ldap 包可让您将 sudo 配置放入 LDAP。没有任何东西会缓存此文件，因此您最好使用配置管理系统分发 sudoers 文件。

Question 2

您可以使用类似以下方法，而不是依赖集中式身份验证（通常也假设存在持久连接）：木偶将一组用户、密码等复制到每个托管主机。这种方法可以允许断开连接的操作，可以分发影子密码文件、sudoers 文件、SSH 公钥和任何网络安装定义……或者实际上是您希望共享的任何配置/数据。

甚至可能包含类似Git作为以断开连接的方式同步文件的一种手段。

我个人使用 LDAP、Kerberos、集中式“配置文件”存储和漫游主目录的经历非常艰苦、容易出错且耗时。虽然理论上可以通过这些组件实现大部分要求，但它们的实践比在家庭网络上管理的要复杂得多。我完全同意 @mattdm 的观点。

Answer

您可以使用类似以下方法，而不是依赖集中式身份验证（通常也假设存在持久连接）：木偶将一组用户、密码等复制到每个托管主机。这种方法可以允许断开连接的操作，可以分发影子密码文件、sudoers 文件、SSH 公钥和任何网络安装定义……或者实际上是您希望共享的任何配置/数据。

甚至可能包含类似Git作为以断开连接的方式同步文件的一种手段。

我个人使用 LDAP、Kerberos、集中式“配置文件”存储和漫游主目录的经历非常艰苦、容易出错且耗时。虽然理论上可以通过这些组件实现大部分要求，但它们的实践比在家庭网络上管理的要复杂得多。我完全同意 @mattdm 的观点。

Question 3

听起来像 AFS (Andrew File System) 之类的东西可以满足您的需求。它支持客户端缓存部分，并使用 kerberos 进行身份验证。

对于身份验证来说，这会带来问题。我不知道有任何身份验证系统支持离线身份验证。不过，你可以作弊，在任何地方执行类似镜像 /etc/shadow 的操作。

Answer

听起来像 AFS (Andrew File System) 之类的东西可以满足您的需求。它支持客户端缓存部分，并使用 kerberos 进行身份验证。

对于身份验证来说，这会带来问题。我不知道有任何身份验证系统支持离线身份验证。不过，你可以作弊，在任何地方执行类似镜像 /etc/shadow 的操作。