> ssl を使うように設定してない限り、pam_ldap を使った認証は、
> NIS よりもむしろ危険ってことだな。

補足。
ここだけ抜き出して読むと誤解を招くかな。
危険になる原因は、
1. SSL を使ってない
というだけではなく、
2. 本人にしかパスワードアクセスをさせない
3. UNIX passwd 形式の DES ないし MD5 パスワードを使う
といった条件にもあった。
だから、2. の条件のない pam_ldap の実装があれば NIS と同レベル
には安全になるだろう。あるいは www.padl.com の pam_ldap 実装
を使うにしても、3. を諦めて
use_sasl on
pam_sasl_mech GSSAPI
として kerberos で運用するとかすれば大丈夫なんじゃないかな。
良く知らないけど。

2. の条件を課さない pam_ldap 実装ってあるのかな。