Regra nº 1 da autenticação baseada em rede: tenha sempre uma conta local disponível.
Além da regra 1 (e para torná-lo útil sem ficar bloqueado atrás do nss_ldap tentando falar com um servidor inativo):
Usando pam_ldap / nss_ldap você pode definir o bind_policy para "soft" (retornar imediatamente na falha do servidor), o que elimina o problema de bloqueio. Você também pode definir o timelimit vallues para fazer o retorno do nss_ldap se ele não puder contatar o servidor LDAP. Observe que isso tem outras implicações (como uma falha temporária durante o SSHing fará com que sua conta LDAP fique inacessível e falhas esporádicas resultarão em nomes de usuários desconhecidos para alguns UIDs LDAP.
Também existem algumas opções nss_ldap não documentadas: nss_reconnect_tries , nss_reconnect_sleeptime , nss_reconnect_maxsleeptime , & nss_reconnect_maxconntries , que faz o que seus nomes significam e irá ajudá-lo a contornar falhas do seu servidor LDAP sem definindo sua bind_policy para soft (isto é o que eu estou fazendo - 3 reconectar tentativas com 10 segundos max sleep = atraso máximo de 30sec esperando pelo servidor LDAP).