>>232
ほとんどのLDAPサーバにAccess Control Listがあるのを知らない人?
ACLを設定して、userPassword属性を読めないようにする設定なんて、
多くのサイトでやっている人がいますよ。

NIS+だってsecure RPCで本人か管理者意外読めないようにする
DES認証モード使っているところあるしね。

無知なのに知ったかぶりは君だから。

それから、pam_ldapで、bindにKerberos認証を使うのはクレージー。
Kerberosは、login認証じゃなくて、セッション認証だから、
pam_ldapの提供しているサービスと整合性が悪い。