> 2. の条件を課さない pam_ldap 実装ってあるのかな。

Sun の pam_ldap モジュールも、認証機構として simple を
選んだ場合には、ネットワークに平文でパスワードが流れるよっ
て書いてあるね。
ttp://docs.sun.com/db/doc/816-3966/6ma797n02?l=ja&a=view

では SASL 経由で CRAM-MD5 や DIGEST-MD5 を使うのはどうか
というと、こういうチャレンジ・レスポンス型の認証を使う場合、
パスワードデータベースには平文 (ないし平文に変換可能な情報)
で保存する必要があるから、サーバ管理者には、パスワードが
バレバレになるんだよね。
GSSAPI 経由で Kerberos を使う場合も、KDC にはパスワードを
平文で保存することになるし。

サーバ管理者に対しても、ネットワーク盗聴に対しても平文で
パスワードを見せないことを目的にするには、LDAP を使う場合
なら SSL を有効にするしかない。
SSL を使う気がないなら、NIS を使った方がまだマシ。

LDAP → 新しいから安全
NIS → 古いから危険
なんて単純な考えは実は大間違いってことだな。
まあ、技術の中身を知らない人が、単に新しいだけでそれを優れ
てるって思い込むことって、他にも色々多いよね。