password sufficient pam_ldap.so password required pam_unix.so shadow use_authtok obscure md5 use_first_pass Tu as mis en required pam_ldap.so, ce qui fait que si il n'existe pasde compte LDAP, la procédure PAM échoue (User not known to the underlying authentication module).Avec sufficient, si un compte LDAP existe, on change son mot de passe et on s'arrète la, sinon on passe à pan_unix.so pour changer le mot de passe des comptes locaux.
Merci Etienne pour ta réponse, je comprend mieux la signification des mots clefs, mais le problème persiste. J'ai mis dans le fichier /etc/pam.d/common-password les 2 lignes que tu me suggères à la place des 2 lignes que j'avais. Le comportement est toujours le même : tout marche mais je ne peux toujours pas changer le password d'un utilisateur local. Seulement, maintenant le message est différent : root# passwd passwd : Authentication information cannot be recovered -- Guy Roussin