Любой ценой сравнительный тест и использование, что информация, чтобы помочь Вам принять решение, но если бы это была моя система, я также уделил бы некоторое внимание долгосрочному обслуживанию. В зависимости от то, что необходимо сделать это, может быть легче управлять вещами, если существует структура каталогов вместо всего в одном каталоге.
pam_ldap
не должен пытаться считать значение userPassword для входа Вас в - Оно регистрируется, Вы в путем выполнения LDAP связываете с DN, который оно получает.
Возможно, что поисковые параметры pam_ldap использование сверхшироки, и это пытается вытянуть userPassword в результате, но если Ваш ACL настраивается правильно (выглядит хорошо мне), это не получит то значение в своих результатах.
На всякий случай Ваши ACLs не прекрасны (я, как было известно, пропустил глупо очевидный материал прежде), вот является рабочий список ACL от моего производства средой LDAP :)
# Access and Security Restrictions
# (Most restrictive entries first)
access to attrs=userPassword
by self write
by dn.sub="ou=sync,dc=mydomain,dc=com" read
by anonymous auth
by users none
access to * by * read
Запаздывание access to * by * read
важно, я не видел его в Ваших примерах, таким образом, я не уверен, отсутствует ли это или просто опущенное от Вашего отрывка.
sync
строка для моего сервиса синхронизации LDAP и не необходима, если Вы не делаете репликации...