caso isso seja interessante para os outros, encontrei a resposta aqui:
Consegui configurar meu sistema para usar o LDAP ou a senha local (adicionando "senha suficiente pam_ldap.so" ao PAM e chamando "pam_unix2.so" posteriormente). No entanto, eu gostaria de restringir um determinado grupo de usuários para poder usar somente LDAP e não ter o fallback de pam_unix2.so. Existe maneira de fazer isso?
caso isso seja interessante para os outros, encontrei a resposta aqui:
Eu não acho que haja algum ponto em ter contas locais para usuários que estão no LDAP, já que todas as informações necessárias podem ser carregadas do LDAP de qualquer maneira. Se você remover as contas locais dos usuários que devem efetuar login apenas por meio do LDAP, isso não resolverá esse problema?