LDAP+gssapi(Kerberos)による認証の場合、pam_krb5で
ユーザ認証をし、pam_unixでユーザのuidやgidなどの
取得を試み、失敗したらログインさせないように動くよう
です。
KerberosにはあってLDAPに無いユーザでログインしよう
とするとgetpwnam(<ユーザ名>)で識別できなかったとい
うエラーがログに記録されます。

この時にpam_filterのチェックは行われるのかと思ったの
ですが、やってくれない。