Você pode usar nscd. E você pode usar a PAM para fazer "failsafe", se um módulo não autentica vai para o próximo. É o que acontece com LDAP/shadow, se o usuário não existe no LDAP ele verifica no shadow.
Você tem um exemplo de configuração para fazer failsafe?Por exemplo, eu tenho uma estação Linux a onde o usuário SACHS se loga todos os dias, porém, no meio da tarde a minha base de usuários fica offline por um determinado problema, não é preciso que o usuário SACHS esteja cadastrado no SHADOW / PASSWD da estação local para poder se autenticar novamente, sendo que a base está offilne? Caso precise, como eu faria para cada LOGON haver uma atualização automática do SHADOW / PASSWD na estação local? Ou o nscd resolveria essa situação?