usuários não podem fazer su para outro usuário LDAP

Estou pensando que minha autenticação está funcionando bem e que o PAM está configurado no meu servidor Debian porque:

• Se eu fizer uma conexão ssh com um usuário LDAP, ele estará trabalhando com a senha
• Se eu fizer uma conexão ssh com um usuário No LDAP, ele está trabalhando com a senha
• Se eu fizer uma su de outro usuário ldap para usuário root, ele está trabalhando com senha
• Se eu fizer uma su de outro usuário do No ldap para o usuário root, ele está trabalhando com a senha
• Se eu fizer um su do usuário root para ldap, ele está funcionando sem senha

Meu ponto preto é Se eu fizer uma su de um usuário para um usuário LDAP, não está funcionando

:~$ su -l users
Password: 
su: Authentication failure

Aqui, o arquivo de conta comum

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 69999 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

Aqui arquivo de autenticação comum

auth    sufficient      pam_unix.so #nullok_secure
auth    requisite       pam_succeed_if.so uid >= 70000 quiet
auth    sufficient      pam_ldap.so use_first_pass
auth    required        pam_deny.so

Aqui, o arquivo de sessão comum

session required        pam_unix.so
session required        pam_mkhomedir.so skel=/etc/skel/ umask=0027
session optional        pam_ldap.so 
session optional        pam_umask.so umask=0027

Aqui arquivo de senha comum

password  requisite   pam_cracklib.so retry=3 minlen=8 difok=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
password        [success=2 default=ignore]      pam_unix.so obscure md5
password        [success=1 default=ignore]      pam_ldap.so minimum_uid=60001 md5 try_first_pass
password        requisite                       pam_deny.so
password        required                        pam_permit.so

O que eu sinto falta?