Предлагаю услуги внедрения службы каталогов на базе FreeIPA.

Краткая техническая информация о решении:

FreeIPA это акроним от англ. Free Identity, Policy and Audit — открытое программное обеспечение, служба каталогов предназначенная для управления ОС Linux, позволяющая централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита.
FreeIPA представляет собой контроллер домена, используемые им механизмы похожи на таковые в Active Directory, разработанной Microsoft. В то же время, он не является сервером каталогов общего назначения (Red Hat Directory Server, Fedora Directory Server и подобных).

В состав компонентов FreeIPA входят:
   • сервер LDAP: 389 Directory Server
   • служба аутентификации и единого входа: MIT Kerberos
   • служба управления сертификатами: DogTag
   • служба синхронизации времени: NTP
   • служба для управления DNS: BIND
   • средство интеграции с Active Directory: Samba (начиная с FreeIPA 3.0.0)
   • веб-интерфейс управления и набор консольных команд и утилит

Во FreeIPA предусмотрены следующие функциональные элементы:
   • Серверы (один или несколько);
   • Клиентские компьютеры;
   • Компьютер администратора (клиентский компьютер с консольными программами для дистанционного управления FreeIPA) — он не является необходимым компонентом, поскольку во FreeIPA реализовано управление с помощью веб-интерфейса, запускаемого на сервере.
FreeIPA сделан модульным как в серверной, так и в клиентской его части.
К основным особенностям и возможностям FreeIPA можно отнести:
   • Управление политиками во FreeIPA реализовано правилами HBAC (англ. host based access control — управление доступом на уровне узла), которые описывают, какие службы доступны пользователям на конкретном зарегистрированном во FreeIPA хосте (компьютере).
   • FreeIPA позволяет гибко делегировать пользователям отдельные роли, не раскрывая им пароль администратора. К примеру, роль Enroll hosts даёт возможность пользователю регистрировать хосты в каталоге FreeIPA.
   • Во FreeIPA есть возможность построения многоуровневой системы управления доступом, в которой, например, руководителю подразделения можно дать полномочия добавлять в группу этого подразделения новых пользователей.
   • С целью снижения нагрузки на сервер у клиентов для хранения настроек используется локальный кэш (LDB и XML).
   • FreeIPA сделан модульным как в серверной, так и в клиентской его части.

Управление сервером FreeIPA
Для управления сервером FreeIPA используются:
   • https://<имя _контроллера>/ – веб-интерфейс управления FreeIPA
   • ipa – интерфейс командной строки, позволяющий управлять настройками сервера FreeIPA и объектами в каталоге
   • ipactl – утилита управления службами FreeIPA
   • ipa-backup/ipa-restore – утилиты резервного копирования и восстановления контроллера домена FreeIPA
   • ipa-getkeytab – управление keytab-файлами, в которых содержатся ключи для аутентификации служб через протокол Kerberos.
   • Идентификация – управление объектами каталога (пользователи, узлы, службы, группы)
   • Политика – политики паролей и Parsec, билетов Kerberos, управление доступом к узлам на основе HBAC правил и управление разрешениями на узлах, на основе правил Sudo
   • Аутентификация – управление аутентификаций через RADIUS серверы, одноразовых ключей и сертификатов
   • Сетевые службы – управление службой DNS и авто монтированием каталогов
   • IPA-Сервер – управление доступом на основе ролей, определение доменов области (realm) и диапазонов идентификаторов, управление доверительными отношении, топологией репликации и конфигурация основных параметров работы сервера FreeIPA.