Você geralmente não quer apenas pam_unix , mas quando você inicia qualquer sessão, o pam enumera os grupos aos quais você pertence usando initgroups(3) , que passará por todos os group de backends definidos em /etc/nsswitch.conf .
Existem algumas razões para esse comportamento, principalmente limitações técnicas relacionadas à separação de interesses, mas em resumo isso permite que você especifique em /etc/groups que um usuário LDAP pertença a wheel para permitir sudo (aleatório exemplo).
Isso leva a histórias sobre root login sendo interrompido ou muito lento em hosts com servidores de diretório remoto, mesmo quando o usuário é definido localmente. Essas histórias são verdadeiras, mas na maioria das vezes devido a configuração incorreta.
Se você usar winbind , poderá definir usuários para os quais os grupos não serão procurados por meio de winbind . A opção apropriada é winbind initgroups blacklist (global) em smb.conf . Foi introduzido em 2007 através do link
Note que o valor padrão contém root , então você provavelmente não precisa sobrescrevê-lo.
Para visitantes:
Se você usa nss_ldap , ldap.conf oferece nss_initgroups_ignoreusers semelhante. Veja nss_ldap(5) .