Как осуществить состав группы LDAP с libpam_ldap для SSHD

Я выполняю 14,04 серверов, которые я имею, устанавливают пакет аутентификации LDAP ldap-auth-client на и настроенный для соединения с нашими серверами LDAP. У меня есть работа части аутентификации, а также пользовательский поиск. Я могу войти в систему с помощью учетной записи ldap и пароля. Я могу использовать идентификатор для нахождения идентификаторов пользователей LDAP.

Я также настроил pam_groupdn опция в ldap.conf файл для ограничения, какие учетные записи могут войти в сервер, но та функциональность не работает. До сих пор я тестирую с SSH. Я проверил это sshd_config включили PAM, и я тестирую с учетной записью не в pam_groupdn группа, это связывает с ldap, и аутентификация, но не попытка сделана проверить dn в списке groupdn. Я использовал wireshark для пронюхивания всего ldap трафика и проверил, что никакой поиск не был сделан для объекта groupdn.

Кажется, что что-то на стороне проверки учетной записи не становится инициированным, мой файл общей учетной записи является значением по умолчанию:

# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore]    pam_unix.so
account [success=1 default=ignore]  pam_ldap.so
# here's the fallback if no module succeeds
account requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

Любая справка с конфигурацией или идеями о том, как далее отладить это, ценится.