/etc/pam.d configuration

Este é um exemplo do arquivo de configuração /etc/pam.d/sshd em um sistema recém-instalado do FreeBSD 11.0:

#
# $FreeBSD: releng/11.0/etc/pam.d/sshd 197769 2009-10-05 09:28:54Z des $
#
# PAM configuration for the "sshd" service
#

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so              want_agent
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

Eu gostaria de configurar este arquivo em um cliente OpenLDAP, que deve usar o LDAP para permitir o login de usuários remotos. Este guia diz para colocar algum lugar linha

auth  sufficient  /usr/local/lib/pam_ldap.so  no_warn

Li este documento e este ; Eu tentei colocar essa linha antes da linha pam_unix.so na seção auth , mas meu cliente não funciona e eu não conheço muito bem o PAM.

1) Essa linha está correta? Onde essa linha deve ser colocada na seção auth ?

2) Essa linha deve ser colocada também em uma ou mais outras seções?