複数のマシンでユーザーアカウントの一貫性を保つにはどうすればよいですか？

これで、Debian Wheezyを実行するRaspberry Piが手に入りました。ここに2台のマシン（4台の物理、2台の仮想）があり、それらのマシンのユーザーアカウントを統合したいと思います。

私が実行するマシンには、次のDebian派生物がインストールされています。

• Debian Wheezy（armhf）
• Debian安定版（amd64）
• Debian不安定（amd64）
• Ubuntu 14.04（amd64）

すべてのマシンにユーザーアカウントを等しく設定するにはどうすればよいですか？名前、ロングネーム、パスワード、およびUIDに一貫性を持たせたい。

将来的には、構成の他の部分を統合したいと思います。

• HTCondor
• マウントポイント（Samba）
• /etc/apt/sources.list
• 無人アップデート

私は異なるUbuntuとDebianのバリアントを使用しているためsources.list、少し異なりますが、各ディストリビューションで同じです。

これに対する良いアプローチは何でしょうか？

基本的に2つのオプションがあります。

1. 各マシンのローカル認証システムを使用し、資格情報の変更をそれらすべてにプッシュします。
2. 集中認証サーバーを使用します。

1.同期されたローカル認証

これを簡単に実現する製品は複数あります。Puppet、Chef、Ansible、およびSaltは、より一般的なもののいくつかです。これらのツールはすべて、「構成管理」と呼ばれるものに分類されます。

基本的には、認証資格情報をコードとして定義するリポジトリがあります。「コード」は、ユーザー名とハッシュ化されたパスワードを指定するディレクティブと同じくらい簡単です。次に、このコードをすべてのマシンに同期し、選択したCMツールを実行します。次に、CMツールは各ユーザーのローカル認証資格情報を更新します（必要に応じてユーザーも作成します）。

他のタイプの構成も行いたいと言ったので、これがより適切な解決策になる場合があります。

2.集中認証

集中認証の最も一般的な形式はLDAPです。LDAPサーバーの実行は困難に思えるかもしれませんが、簡単に管理できるようにするFreeIPAなどの優れたパッケージソリューションがいくつかあります。

さて、あなたの最初の考えの1つは、「中央サーバーがダウンしている場合でも認証を機能させたい」かもしれません。これはSSSDを使用することで簡単に実現できます。ユーザーが初めてサーバーにログインすると、SSSDはLDAP（または採用されている場合はKerberos）を調べ、資格情報が有効な場合はローカルマシンにキャッシュします。LDAPサーバーが使用できない場合は、キャッシュの使用にフォールバックします。したがって、ユーザーが一度ログインしている限り、LDAPが利用できない場合でもログインを続けることができます。

3. 2つの組み合わせ

また、2つのソリューションを組み合わせて使用​​することもできます。これは大規模なエンタープライズ環境では非常に一般的ですが、小規模でも使用できます。基本的には、集中型認証サーバーがあり、それを使用するようにクライアントを構成するにはCMツールを使用します。