Обсуждение статьи тематического каталога: Настройка сервера LDAP и PAM_LDAP (ldap pam auth)Ссылка на текст статьи: http://www.opennet.me/base/net/pam_ldap.txt.html
Если в /etc/ldap.conf мы пишем
pam_filter objectclass=posixAccount
то указывать потом тот-же фильтр в строках
nss_base_passwd и nss_base_shadow
нет смысла -- строка из pam_filter добавляется к фильтру. Получается что-то вроде
(&(objectClass=posixAccount)(uid=vasya)(objectClass=posixAccount)) - хуже не будет, но и толку особого нет.