Configurando logons compartilhados para usuários da web e do sistema

Estou procurando criar uma área de automação e administração da Web que os usuários que têm permissões para executar tarefas do sistema possam executá-las via Web, como criar / editar usuários. Pensei em criar um sistema que sincronize as senhas do sistema e da web e, quando um usuário desejar executar uma tarefa específica que exija acesso root, peça sua senha sudoe salve a senha em uma sessão por um determinado período de tempo.

No entanto, eu sei que essa não é uma boa prática e, se alguém tiver acesso às informações da sessão, poderá obter as senhas para os usuários. Então isso me levou a pensar em um Serviço Central de Autenticação para o sistema e os usuários da web.

Minhas perguntas são: isso é possível ou já foi feito? Em caso afirmativo, como realizaria a configuração deste sistema CAS para usuários da web e usuários do sistema? Como permitiria que esses usuários do CAS realizassem ações sudo? E que outras implicações devo considerar para este projeto?

Não é necessário sincronizar o servidor da web e as senhas do sistema; você pode configurar o mod-auth-external para delegar a autenticação do usuário ao PAM. No entanto, ele somente autenticará o usuário no servidor da web (usando as credenciais do sistema), não no sistema (provavelmente é mais seguro dessa maneira).

Para administração remota baseada na Web, você deve procurar o plesk , cPanel ou Webmin que fazem exatamente isso. Seja extremamente cuidadoso se desejar reimplementar essa funcionalidade em seu próprio aplicativo: é um pesadelo de segurança.