sssd + ldap на серверах. RADIUS имеет смысл в том случае, если нужен доступ к сетевому оборудованию или BNC-контроллерам. Sudo можно к LDAP привязать.

Сделать всем аккаунты и раздать права какие надо.
Ходить под рутом более чем одному админу на один сервер нельзя вообще никогда.

Контраргумент против падения фрирадиуса: не надо кривыми руками сервера настраивать, тогда и сервисы падать не будут.

Я так и хочу сделать.

radius нужен для доступа к маршрутизаторам cisco, 3com, dlink.

Основной аргумент это, что если вдруг упадёт сервер freeradius, то никто не сможет попасть на сервера, wifi, и helpdesk.

А если бы у бабушки был бы член, она была бы дедушкой. Делай отказоустойчивый сервис, это сложнее, зато если уронишь 1 из n инстансов - остальные продолжат работу.

Сделай, я разрешаю.
А напарника пора понижать до слесаря с такими говноаргументами.

Абсолютно с Вами согласен. К сожалению, он имеет некоторое уважение со стороны руководства, в связи с тем, что умеет очень хорошо «ссать в ушки».

Что Вы скажете по поводу KVM(Возможно XEN) с heartbeat и drbd для этих целей?

Ну значит либо надо искать другое руководство либо собрать доказательства его некомпетентности.
Неспособность настроить сервис таким образом, чтобы тот не падал, является хорошим доказательством.
Выдача ложных аргументов (ага, фрирадиус типа может упасть, а опен ссш типа упасть не может) тоже хорошо показывает профессиональное дилетантство.

Этот разговор переходит уже в дискуссию руководства. Тот вопрос, который Вы поставили резко, я уже решился(3-4 дня назад) поставить, так же резко на собрании руководителей. А по поводу что любой сервис(исходя из Ваших же слов) может упасть - я с Вами согласен. Человек праповедник debian и другие ОСи он не признаёт. Так же он свято уверен что Snort, Surricata бесполезные узлы в ходе траффика. Уверен что logwatch бесполезное нововведение, openfire гонво*, а скуйпе(skype) лучшее решение всех времён и народов. Собственно продолжать можно бесконечно, но решение мне придётся найти. Я, честно, больше склоняюсь к HA кластеру из radiusd. Он позволит мне давать доступы до Wifi, Cisco, 3Com, Dlink, Mikrotik и серверов в необходимой мне ситуации. Сам, честно признаюсь, являюсь поклонником CentOS и RHEL, Тому есть множество причин.

Человек праповедник debian
скуйпе(skype) лучшее решение всех времён и народов

Да он знатный клоун. Гнать его с технической должности надо как можно скорее, проблем от него будет много.

являюсь поклонником CentOS и RHEL

А вот дистрибутив лучше всё-таки выбрать один для рабочих серверов.
И дебиан это таки хороший выбор.
Хотя и центось и рхел тоже не плохие, просто если выбор уже сделан и сделан не плохо — не стоит всё ломать.

проблем от него будет много.

Проблем уже хватает. Debian мне тоже нравится, но когда встает вопрос о корпоративных сервисах, я стремлюсь выбрать ось этого же уровня. Ломать ничего не собираюсь, да и ломать-то нечего.

В вопросах оси, я считаю люди из RHEL понимаю побольше в серверных технологиях и стабильности, нежели свободное коммунити. Свободное коммунити хорошо подходит под десктоп, а не под сервера. ИМХО.

Хреново ты считаешь, сразу видно что с РХЕЛом ты серьёзных дел не имел.

Это какие «серьезные дела» ? Сторонник генты или слаки?

Если все так, как ты описываешь, то я тебе соболезную. С таким коллегой каши не сваришь.

С радиусом поддерживаю. Если еще подружишь с лдапом, то ой! Посмотри еще в сторону freeradius proxy, мб твой вариант.

Выдача ложных аргументов (ага, фрирадиус типа может упасть,
а опен ссш типа упасть не может)

Вообще-то, это не такой уж и ложный аргумент: ssh используется (читай - тестируется) в гораздо бОльших объёмах, соответственно, и баги лучше ловятся. Кроме того, RADIUS-сервер один (ладно, несколько), а ssh на каждом сервере свой, отдельный.

Так что тут вопрос, в каком месте делетанство.

Я, честно, больше склоняюсь к HA кластеру из radiusd.

Вообще, правильные железки допускают указание запасных radius-серверов. Так что HA-кластер (в понимании именно кластера), как таковой, не нужен. Надо несколько серверов с radius и своими базами, и репликацию между базами. И, в общем-то, это должно быть более-менее надёжно.

ходить под рутом это безопасно и надёжно

Под рутом, разумеется, ходить не надо. Хотябы по причине непонимания по логу, кто заходил и накосячил.

radius нужен для доступа к маршрутизаторам cisco, 3com, dlink.

Вообще, идея с ldap для серверов выглядит перспективно. Можно попробовать совместить. То есть, сервера работают с ldap напрямую, а железки - через radius с ним же. Вроде бы, freeradius ldap умеет.

Нет, это когда серьёзные дела.

Это не агрументация, это дилетантская демагогия.
Если бы частота падений сервисов была обратно пропорцианальна их популярности, то виндовс не глючил бы вообще никогда.

то виндовс не глючил бы вообще никогда.

Не очень удачное сравнение. Начиная с объёма кода.

FreeIPA / RedHat IdM

К бебиану/бунте/минту тоже прикручивается (добрый человек сделал пакет для wheezy, но там есть свои тонкости).

Для отслеживания действий админофф годится передача логов на выделенную машину, куда имеет доступ только самый главный админ. Посредством функции в /etc/bashrc в лог можно писать историю шелла.

Если выберешь подобную схему и будут вопросы - можешь стукнуться в джаббер, чем смогу.

Хистори я и так забираю. Пока рассматриваю вариант ldap vs radius. На маршрутизаторы ходить им незачем, с тех пор, как я поставил mrtg. Вот сижу и думаю. Спасибо за наводку про прокси и несколько радиусов с репликацией БД.

Я так и не услышал от Вас, что Вы подразумеваете под «серьезные дела». Похоже на безаргументную болтовню.