base dc=domain,dc=loc

scope sub

uri ldap://server.domain.loc

port 389

ldap_version 3

binddn cn=ldap,cn=Users,dc=domain,dc=loc

bindpw qwerty

pam_filter objectclass=User

pam_login_attribute sAMAccountName

pam_password ad

В этом случае пароль из AD будет запрашиваться при входе с консоли, ftp и ssh, если пароль отвергнут, поиск будет продолжен в локальных файлах.

login  auth  sufficient        /usr/local/lib/pam_ldap.so

login  auth  sufficient pam_skey.so

login  auth  sufficient pam_opie.so  no_fake_prompts

#login  auth  requisite pam_opieaccess.so

login  auth  requisite  pam_cleartext_pass_ok.so

#login  auth  sufficient       pam_kerberosIV.so  try_first_pass

#login  auth  sufficient       pam_krb5.so  try_first_pass

login  auth  required   pam_unix.so  try_first_pass

login  account required pam_unix.so

login  password required       pam_permit.so

login  session required pam_permit.so

# Same requirement for ftpd as login

ftpd  auth  sufficient  /usr/local/lib/pam_ldap.so

ftpd  auth  sufficient  pam_skey.so

ftpd  auth  sufficient  pam_opie.so  no_fake_prompts

#ftpd  auth  requisite  pam_opieaccess.so

ftpd  auth  requisite   pam_cleartext_pass_ok.so

#ftpd  auth  sufficient pam_kerberosIV.so  try_first_pass

#ftpd  auth  sufficient pam_krb5.so  try_first_pass