O problema é que a autenticação do usuário no UNIX funciona com uma string de nome de usuário simples, como 'usera'.
O LDAP não funciona assim, mas precisa de um nome de usuário completo DN, como uid=mruser,cn=users,dc=ibm,dc=com
.
Portanto, o motivo pelo qual você precisa permitir a ligação anônima ou ter um binddn válido é para que o sistema de autenticação possa ser vinculado ao servidor LDAP e executar uma pesquisa para traduzir usera
- > %código%. Sem essa habilidade, não saberia com que testar a senha no diretório.
É normal que os administradores LDAP não queiram permitir a vinculação anônima, mas devem ser capazes de criar um usuário específico para você, o qual só permite acessar os detalhes específicos necessários para que a autenticação LDAP funcione no UNIX. ie. acesso somente leitura nas áreas de usuário e grupo da hierarquia LDAP.
Você não menciona de que SO está falando, mas lembre-se de que o PAM é para autenticação - você também precisa ter o serviço NSS para resolver nomes de usuários e userids. Dependendo da implementação, isso pode ser uma parte diferente do trabalho de configuração que você precisa fazer.