Нет, не ставишь. Ключи централизованно лежат в LDAP. Доступы по фильтрам: роли + группы.

Это странно если это забросили, казалось классной идеей

Я тоже не разделяю нелюбви к ldap, там всё просто и понятно и кажется нет причин считать его устаревшим и дерьмом мамонта)

Вот этот доклад тут вспоминали, видимо. Там про доступ ssh по сертификатам, которые живут 2-3 минуты, ограничены по IP, Key ID логируется в auth.log, 1 строчка в sshd_config TrustedUserCAKeys /var/lib/my_ca.pub. Нужен PKI для ssh-сертификатов. Работает, начиная с OpenSSH 5.3.

сейчас тестируем pritunl zero для этого. Пока не понятно, взлетит или нет. sssd для ldap не взлетел, т.к. у нас большой зоопарк, не везде он работал. Кажется на suse вообще не работал.

sssd нинада - он глючит, nslcd - не глючит

Если кому точность нужна, то глючит sssd_cache. WONT_FIX.

Просто обычно лдап приносят в компанию устаревшие мамонты вкупе со всем остальным ентерпрацз

Да точно, его

А вот кто шо слышал про ажур ад?

Я не о тут присутствующих конечно :)

Расскажи, пожалуйста, о том, как AD прям люто устарел.
А самому LDAP в этом году исполняется (ужас-ужас!) 22 года

Можно попадробне про nslcd?

Это демон, который, собственно, в LDAP и ходит. А к нему обращается соотв. модуль PAM (сам пакет целиком зовётся nss_pam_ldap).

Аж жир с экрана потёк.

Вот коллега и расскажет, чем же ему LDAP не угодил - я уже предложил. А заодно, до кучи - чем неведомая балалайка лучше отлаженного протокола с работающим master-master сервером.

Противоречий не вижу, чёт) у нас АД контролируют админы, доступ к проду зависит от "прода").

Проблемы с админкой для ключей нет - она уже есть. А вот проблема с подключением Linux машин к всей этой связке с ad. Регистрация , доступы по группам, sudo, 2fa.
В целом я понял, что нужно дальше тыкать freeipa, решений особо никто не пробовал на этой базе(AD)

Не смотрел на freeipa, будет интересно прочитать про твой опыт использования)

У меня к ldap такие вопросы возникают:
- Как это будет работать когда сервера AD у тебя в офисе, а тачки в амазоне?
- Кэшируются ли ключи? Сможешь ты зайти на хост при проблемах с сетью или серверами ldap?
- Как это всё бутсрапить? Чтобы тачку в домен ввести нужно кучу софта поставить и какие-то пароли руками повводить, насколько я помню. Плюс там ещё время синхронизировать, dns-ы перенаправить. Как быть если у меня консул dns-ы используются?
- ldap тормозной. Если ты ансиблем разом на 100 тачек подключаешься, то каждая тачка идёт в ldap за авторизацией. Тут точно всё ок будет?

У меня ровно такие же вопросы 😂