Több 100 gépnél az SSH kulcs dinamikusan jöhetne LDAP-ból és akkor nem kell" teríteni".
A generálás történhet másik gépen, vagy egy Vault jellegű szoftverban, ahogy fentebb írtam. Onnan a publikus kulcs mehet LDAP-ba vagy AD-ba.
Nem világos számomra, hogy az ephemeral/immutable gépeken hogy teríted jelenleg a publikus kulcsot.
Továbbra is azt érzem, hogy próbálod kötni az ebet a karóhoz, de én sem akarok senkit meggyőzni arról, hogy amit én mondok az a tuti csak úgy érzem nem igazán szeretnél a körön kívül gondolkodni.
A HashiCorp Vault jellegű szoftvert security team szokta szolgáltatásként nyújtani az üzememeltetésnél. Ha nincs külön ilyen team, akkor is le lehet fedni 2-3 kollégával, akik admin joggal és írásba foglalt felelősségi körrel rendelkeznek a rendszer felett. Az LDAP szintén ugyanez, mert GPDR szempontjából érzékeny adatok lehetnek benne. Tehát az én meglátásom elsőre, hogy kéne egy kis átszerveződéss hozzá és sokkal egyszerűbben megoldható lenne a szolgáltatás.