Mai serios :
Pe scurt serverele pe care sunt LDAP si/sau Kerberos se administreaza cu chei SSH detinute doar de cei in functii de conducere. Tu nu ii dai acces directorului tau direct la serverul kerberos ci doar la un cont care are permisiuni sa creeze/modifice alte conturi (inafara de al tau). Pe aceste servere se logheaza prin windows/linux la login (active directory sau alt client), dupa nu e necesar alt login. Daca folositi doar Windows atunci Active Directory cu contul Microsoft e cel mai logic de implementat.
Toti ceilalti se logheaza prin token-uri configurate si setate de sistemul Kerberos dupa ce se logheaza, chiar si cheile ssh se emit de ele pe root cu expirare. (ca cineva sa poata intra pe servere daca cade de exemplu Kerberos)
Tot stau si ma gandesc ce se intampla cu software-ul care nu este legat de o adresa de email care sa ma ajute la recuperare de parola.
Cel mai logic e ca fiecare utilizator sa fie o adresa de email interna sau pe domeniul organizatiei.
Practic fiecare site/server trebuie schimbat sa functioneze cu login prin kerberos/ldap, iar login-ul pe ele sa se faca printr-un vpn intr-o retea interna cu un server ldap/kerberos.
Daca vrei ceva orientat pe internet fara un vpn ai putea crea un server de autentificare central pe care sa il administrezi tu si acela sa iti dea token-uri JWT pe baza permisiunilor, acces la un server cu o cheie ssh generata si autorizata temporar, etc.
Cheile SSH ale serverelor vor fi administrate automat printr-o alta platforma la care este necesar login-ul prin JWT/Kerberos/LDAP, acesta iti da o cheie ssh pe care o pui si dupa ai automat acces unde ai permisiuni. Daca retragi cheia JWT si stergi/expira cheia ssh atunci omul nu mai are acces la sistem.
https://auth0.com - O implementare pentru token-uri JWT emise de o sursa sigura.
https://github.com/operasoftware/ssh-key-authority O implementare pentru key management pentru ssh.
In acest caz e necesara autentificarea undeva de unde utilizatorii admini vor fi trimisi la o pagina speciala unde se vor loga (chiar si cu sms prin telefon), iar cand se logheaza li se seteaza un token. Dupa cand intra pe orice site daca au permisiunile necesare nu mai trebuie sa se logheze. Tu administrezi acesti utilizatori printr-o platforma in care esti fondator, iar directorul tau de IT e doar admin care nu poate sa iti modifice parola sau sa te inlocuieasca. Iar totul se face cu log-uri si fara acces la stergerea log-urilor. (exista si solutii cu ethereum/bitcoin in cazul in care daca mori sau se intampla ceva cheia ta sa fie trimisa cuiva fara sa apelezi la un avocat care nu e 100% sigur)
Gata facut : https://auth0.com/, https://www.pingidentity.com, https://www.bitium.com/, https://www.oracle.com/middleware/identity-management/index.html si https://www.okta.com/
Gratuite si open-source : http://www.keycloak.org/, https://www.shibboleth.net/products/, https://syncope.apache.org/iam-scenario.html
