> なんでわざわざpam-ldapからkerberos使わなきゃならんのだよ…
> pam-krb5があるのにさ。

kerberos realm と、そのマシンにアカウントのあるユーザが
一致している場合は pam-krb5 でいいけど、ユーザを realm
のサブセットにしたい場合には pam-ldap を使ってユーザを
制限して、ただし認証は KDC に頼るって運用がしたいことも
あるんじゃない?

> SASLでS/Key、SSLなしつーのなら分かるけども。

そう? s/key って、ファイアウォールの内側で使うような
ものじゃないと思うけど。で、ファイアウォールの外側で
使う場合、SSL なしだと LDAP の TCP コネクションが乗っと
られる可能性があるから危険じゃない?