Нашел. Неплохой вариант решения. Нет необходимости изменять схему. Основываемся на группах.
Т.е. создаем группы:
service1.ldapclient.tld
service2.ldapclient.tldЗатем можно использовать предусмотренный в pam_ldap pam_groupdn.
Проблема осталась только одна. Оказалось это не работает на практике. :)
Такое ощущение что pam_ldap просто игнорирует эту опцию...
Нашел подтверждение своим словам...
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/OpenLDAP в описании настройки pam_ldap...
>я подобные задачи не решал, но ...
>
>ldap штука отличная конечно, но привязка его к определённому сервису ничем не
>регламентируется, и в каждом конкретном случае решается по разному, а со
>схемами -- так какую захотел -- такую и сделал. идеального решения
>не бывает -- да оно и не нужно, нужно сделать а
>потом думать как можно оптимизировать (подход конечно не очень -- зато
>эффективный) IMHO