LDAP é um serviço de diretório (um tipo de banco de dados), juntamente com um protocolo que descreve quais informações são armazenadas, como pesquisá-las, etc. Todos os tipos de coisas podem ser armazenados lá, mas neste caso seria Unix. informações de usuário e grupo. Muito vagamente, uma alternativa para /etc/passwd , /etc/shadow , /etc/group e /etc/gshadow . Ou para NIS.
O NSS é o comutador de serviço de nomes da glibc. Ele permite que você (via /etc/nsswitch.conf ) configure como vários tipos de 'nomes' são resolvidos. Os nomes incluem nomes de host, nomes de usuários, nomes de grupos e várias outras coisas. Você poderia dizer para procurar nomes de usuários, nomes de grupos e senhas via LDAP em vez de arquivos.
O PAM lida com a autenticação (verificando quem você afirma ser), autorização (conceder ou negar acesso a um determinado serviço), configuração da sessão, etc. Quando uma senha é solicitada, isso geralmente é feito pelo PAM. Ao editar sua configuração, você pode personalizá-la completamente (por exemplo, você pode pedir duas senhas, ou nenhuma, ou uma senha de uso único ou ...). Em uma configuração LDAP, você normalmente a configuraria para verificar senhas por meio do servidor LDAP. Ele também lida com alterações de senha, que você configuraria para serem feitas no LDAP.