>>Пользователи меняют рабочие станции? Может быть, просто авторизация по связке MAC &
>>IP для каждой рабочей станции?
>
>А как красиво рассуждала о высоких материях ... а потом грубо и
>пошло $^%$#!!!, даже поручик и то покраснел :) А чем Вам это решение не нравится как решение для SOHO? Так ли нужен LDAP/NTLM? Подразумевается, что административных прав(перебить мак или отключить DHCP на интерфейсе они не могут) на станциях у юзеров нет.
Естественно, если станция не закреплена за каждым юзером, такой вариант не подойдет, но в других случаях тем же puppet можно очень удобно генерить конфиг для Squid/HAVP/подставить нужное, описывая нового юзера простыми директивами...
Заодно сразу же не нужен DDNS, можно использовать обычный DNS.
Всегда ли "проще" значит "хуже"?
Заодно, что бы повысить безопасность, можно использовать на свитчах port-security (что бы ничего "левого" не втыкали), и изолировать станции на L2 в отдельные VLAN-ы с аплинком на интерфейсы серверов(имхо, файл-шары непосредственно на станциях большое зло).
Для перемещаемого профиля связка по авторизации IP & MAC понятно, что не подойдет, и LDAP будет лучшим решением, но тут и совсем другие требования ко всему, начиная от сети, и заканчивая производительностью дисковой сервера, где будут лежать профили.
Я всего лишь навсего пыталась донести до топикстартера мысль, что есть жизнь и без LDAP :)