PAM, nsswitch и конфигурация LDAP

Если я не неправильно понимаю Ваш вопрос, Вы, кажется, объединяете две разных вещи, который является, вероятно, ведущим к Вашему беспорядку:

pam_list авторизационный модуль учетной записи - который является им, позволяет Вам указать способы определить, "действительна" ли учетная запись пользователя на данной машине. Обратитесь к странице справочника для pam_list для получения дополнительной информации. Вы использовали бы pam_list в конфигурационном файле PAM, чтобы позволить/отклонить определенным пользователям на определенных хостах.
pam_list может использоваться с allow или deny файлы, и также имеют "compat" опцию, которая заставляет его работать тот же способ, которым традиционно делает NIS (+ и - строки в /etc/passwd).
Можно обратиться к странице справочника для pam_list для получения дополнительной информации здесь.

При использовании LDAP (pam_ldap или подобный) существуют "лучшие" способы сделать материал авторизации пользователя - обычно использующий группы LDAP или OUs для управления доступом.
См. соответствующую документацию для своего модуля PAM LDAP для специфических особенностей.

passwd_compat "псевдобаза данных", которая появляется в nsswitch.conf. При использовании LDAP, Вы обычно перечисляли бы LDAP как часть passwd и group базы данных и Ваш LDAP-nsswitch взаимодействующий через интерфейс модуль (nss_ldap или подобный) обработали бы выполнение битов поиска LDAP. Вы могли также установить passwd_compat для указания на nis или ldap по обстоятельствам. Обычно это приводит к чему-то как:

 passwd: compat
 passwd_compat files ldap  

Страница справочника для nsswitch.conf хороший источник информации об этом. Можно также найти некоторое понимание в книге O'Reilly Руководящим NFS и NIS - приблизительно 10 лет (2-й Ed.), но все еще обычно применимый.
Я полагаю, что у O'Reilly также есть LDAP, выписываются, но я не уверен, обсуждает ли он что-нибудь о nsswitch или PAM...