Интересно, а нельзя просто хранить пользователей в LDAP используя стандартные схемы, а аутентификацию проводить просто через PAM? По-моему гораздо проще, хотя сам не реализовывал.