> そりゃ実装がおかしいんでは?

試したのは、
ttp://www.atmarkit.co.jp/flinux/rensai/root02/root02a.html
で紹介されている www.padl.com の pam_ldap の実装。
少なくとも Linux で PAM を使う上ではメジャーな実装なんじゃない?
設定も、ほとんどこのページに解説されている通りだと思う。

> 生パスワードをネットワークに流すなんて、そんな必要はゼロだよね?

そうでもない。
ユーザ本人だけしかパスワードアクセスを行なえないようにするには
どうするかを考えてみる。ここで、パスワードデータベースには、
/etc/passwd で使われるものと同じ、DES あるいは MD5 による
encrypted password が格納されているものとする。

ユーザ認証をどのホストで行なうかには、2通りのやり方がある。
1. LDAP クライアント側でユーザ本人であるか検証を行なう
2. LDAP サーバ側でユーザ本人であるか検証を行なう

1. の場合、LDAP サーバから LDAP クライアントへ、encrypted password
を転送しないと、LDAP クライアント側でパスワードが正しいか検証でき
ない。すなわち、ユーザ認証を行なう前に、encrypted password を転送
する必要があるため、「ユーザ本人だけしかパスワードアクセスを行なえ
ないようにする」という目的が、そもそも達成できない。