аутентификация через LDAP (плюсы, минусы...)

[Kavka]

Есть желание сделать централизованное, в некотором смысле, управление юзерами/логинами.
С одной стороны есть LDAP поверх SSL, отдельный сегмент сети не выходящий наружу, и желание иметь одинаковые логины/пароли на группе компов для некоторого количества народу. Плюс самбу к LDAP-у желательно прикрутить. С точки зрения наличия софта и всякого рода модулей/плагинов - всё, вроде, нормально. А вот как дела обстоят с секъюрити, настройкой и прочими моментами связанными с этим. Полазил по интернету, так где как... Много где пишут, что всё ОК, дескать, пользуйтесь настройщиками/скриптами. Но есть и такие, что тот-же yast, из SUSE, разносят в пух и прах с точки зрения безопасности.
Вобщем, кто делал такое поделитесь опытом/впечатлениями.
Ссылочки на хорошие материалы по данной теме приветствуются.

[deepwalker]

Хорошие впечатления : ))
Не приходится лазить в конфиги squid, inn, ejabberd и тп. Заводишь юзера через luma, заносишь в группу и все, может работать. А с секурностью надо разбираться отдельно. Например ejabberd по умолчанию ldaps не держит, ну так на то есть stunnel. Пароли сервисов ессно лежат у них в конфигах в открытом виде. То есть если сервис взломают, то все пароли всех юзеров увидят. В таком вот аспекте. В общем нужно параноить конечно, но в меру : )) ssl/tls от севера к ldap и от клиента к сервису должно хватить. Самым лучшим вариантом было бы использовать kerberos, но его поддерживает столь малое колво сервисов : (( У меня в общем разделено, что может, то с kerberos, все остальное plain text over ssl/tls. Пароли в kerberos и ldap разные.