Cenário:
Temos usuário1, usuário2, usuário3 e usuário4 no LDAP. E as máquinas Linux linux1, linux2, linux3, linux4, ... linux50 estão neste domínio LDAP.
Agora o problema é:
Como limitar o usuário1 para ter permissão apenas para fazer o login do linux1, linux2, linux3 e linux 4 apenas? Os outros usuários (user2, user3, user4) podem fazer logon em todas essas máquinas (isso é trivial, já temos isso).
A maneira mais simples seria criar dois grupos LDAP, por exemplo, "testador" e "desenvolvedor", ou qualquer outra coisa.
Então, no linux2, linux3 e linux4, você adicionaria
pam_groupdn "developers"
para /etc/ldap.conf .
Veja o link para mais detalhes.