Как лучше реализовать «удобное» шифрование домашних каталогов в Linux?
Появилась задача (требование заказчика) шифрования домашних каталогов пользователей. На декстопах стоит Ubuntu 12.04 (есть и Win7, но то отдельная песня). Необходимо организовать шифрование так, что бы в случае чего сотрудники IT отдела могли самостоятельно восстановить данные (к примеру начал сыпаться винт и надо перенести уцелевшие данные на новый, "ушатали" ОСь и требуется ее переустановить и т.д.).
Пробовали штатный eCryptfs: выглядит все круто - пользователю не нужно совершать доп. телодвижений для расшифровки раздела - ввел свой пароль при логина и хомяк автоматом расшифровался, есть возможность расшифровать на другом компе зная encryption passphrase (их список может вести IT-отдел). Можно легко мигрировать (а это очень весомый аргумент, т.к. реинсталить сотни полторы декстопов а потом еще и настраивать заново окружение никто не захочет) на зашифрованный хомяк без необходимости переустанавливать ОС.
Собственно не обошлось и без минусов:
если юзверь меняет себе пароль на локальном компе, то ему необходимо сменить и пассфразу. если этого не сделать, то хомяк не раскриптуется при логоне и пользователь не сможет войти в систему. "Надрессировать" после смены пароля обновлять пассфразу и сбрасывать ее администраторам мне кажется маловероятным (даже в виду того, что делается это крайне редко и люди будут просто забывать).
Есть конечно идея поправить passwd (точнее сказать переместить ее и на ее место положить скрипт, который по очереди будет вызывать сам passwd, потом утилиту для смены пассфразы и трейтим пунктом отправку ее на мыло админам), ну сама схема ведения учета пассфраз оптимизма не добавляет :( Тем более что количество сотрудников растет постоянно и учет вести с каждым годом будет все сложнее.
Может есть какое-нить готовое решение, которое позволит реализовать задуманное более простым/удобным способом? Возможно какой-нить другой софт для шифрования?