>>207569
Kerberos, насколько мне известно, не умеет хранить все нужное и я не слышал, чтобы был NSS-модуль, реализующий хранение каталога пользователей на Kerberos-сервере.

Если задача в том, чтобы хранить только пользователей и только для линуксовых машин, то в принципе можно и без LDAP выкрутиться. Полно ведь всяких других модулей для NSS и PAM, которые и в базы данных умеют лазить, и через HTTP-запросы каталог получать, и все такое.

LDAP хорош лишь тогда, когда нужно обеспечить стандартизованное взаимодействие между кучей различных систем и продуктов.

>>207570
Спасибо. Скорее всего, лучше именно LDAP, т.к. к нему будут привязываться и различные сервисы вроде Gitlab, Jenkins и прочего.
Посмотрю 389DS, в Apache DS в схеме NIS в классах не все атрибуты, а OpenLDAP настраивать долго.
Ещё бы найти, как грамотно создать лес.

Настроил LDAP (как оказалось, это не настолько страшно, хотя да, в 389DS всё настраивается скриптом и работает практически из коробки) и авторизацию на хостах, правда, пришлось пару дней повозиться с установкой сертификатов (с несекьюрным подключением пользователи не могут менять свои пароли просто через passwd).
В любом случае, это меня разгрузило от реквестов вроде "добавь меня на <hostname>/<servicename>" и "я забыл пароль от компа/удалённого сервера/гита/дженкинса".