Управление ключами пользователей на среднем количестве серверов под управлением GNU/Linux

Собственно имеем мы ну скажем около 100 серверов на которых у нас должен быть определенный набор пользователей, вход у них сугубо по ключам.
Добавление пользователей не вопрос, dsh нам в помощь и одной командой добавляем хоть на всех 100 серверах.
Но вот у нас случилось печальное, по какой-то причине один из наших пользователей сменил свой ключ, неважно, утерял его секретную часть или еще почему, но сменил. Кто может предложить какие варианты централизованного управления?
Первой идей, что пришло в голову это всякие puppet`ы и хранение ключей пользователей не у них в ~, а в /etc/ssh/%user_name и соответственно раскладывание.

Может у кого есть какие еще идеи-варианты? Может кто-то сам уже озадачился подобной проблемой?
Идею пользователей в LDAP и Co и централизованного хранения и доступа с паролем не предлагать, идею NIS+NFS и монтирование ~ по сети из одного места тоже.