A menos que eu esteja entendendo mal sua pergunta, você parece estar confundindo duas coisas diferentes, o que provavelmente está levando à sua confusão:
pam_list é um módulo de autorização de conta - isto é, permite especificar formas de determinar se a conta de um usuário é "válida" em uma determinada máquina. Consulte a man page para pam_list para mais informações. Você usaria pam_list em um arquivo de configuração do PAM para permitir / negar usuários específicos em hosts específicos.
pam_list pode ser usado com allow ou deny arquivos e também tem uma opção "compat" o que faz com que ele funcione da mesma maneira que o NIS tradicionalmente faz (+ e - linhas em /etc/passwd ).
Você pode consultar a página de manual para pam_list para mais informações aqui.
If you are using LDAP (pam_ldap or similar) there are "better" ways of doing the user authorization stuff - typically using LDAP groups or OUs to control access.
See the appropriate documentation for your LDAP PAM module for the specifics.
passwd_compat é um "pseudo-banco de dados" que aparece no nsswitch.conf. Se você estiver usando o LDAP, normalmente você listaria o LDAP como parte dos bancos de dados passwd e group , e o módulo de interface de comutação ns LDAP (nss_ldap ou similar) lidaria com os bits de pesquisa do LDAP. Você também pode definir passwd_compat para apontar para nis ou ldap conforme apropriado. Normalmente, isso resulta em algo como:
passwd: compat
passwd_compat files ldap
A página man do nsswitch.conf é uma boa fonte de informações sobre isso. Você também pode encontrar algumas dicas no livro da O'Reilly Gerenciando NFS e NIS - com cerca de 10 anos de idade (2ª Ed.), Mas ainda geralmente aplicável.
Acredito que O'Reilly também tenha um livro LDAP, mas não tenho certeza se discute algo sobre o nsswitch ou o PAM ...