freeipa - тред, поделитесь опытом внедрения.

«Это» в его изначальном виде не использую, но все компоненты из которых состоит эта штука использовал: 389 directory server, krb5-server, krb5-ldap-util. DNS в LDAP не засовывал, скрипты под управление юзерами использовал свои. С вводом винды в домен огрёб проблем (бросил на полдороги, ибо задолбался). Использовал для того, чтобы потом прикрутить на каталог на единую учетку все сервисы - почту, шелл, жаббер, довекошку и апачевскую аутентификацию (да, всё работает), и там же в каталоге хранить все контакты - чтобы брать их из аутлука, сандерберда, эвы и с сайта через HTTP.

Выводы - LDAP-сервера в принципе достаточно, всё остальное не особо и нужно - kerberos нужен только для SSO (single sign-on), остальные сервисы хорошо закручиваются на LDAP напрямую через ldap:// и ldaps://.

Да простят меня за «пеар сранава бложега» - но вот тут => http://dalth.livejournal.com/ я веду бортовой журнал для самого себя - что, как и в каком порядке делал.