ファイルサーバなどが該当する思うのですが、「LDAP でユーザ名を引きたいけど、ユーザのログイン自体はさせたくない」場合のやり方。

分かっちゃえば超シンプルだけど、一応メモメモ。NIS の場合もほぼ同じやり方でいけるはずです。

/etc/passwd で passwd に compat を指定し、passwd_compat には files, ldap を指定します。こんな感じ。

passwd: compat
passwd_compat: files ldap

で、/etc/passwd には、compat 用の「+」エントリを追加します。こんな感じ。

+::::::

で、ここが超重要。/etc/shadow は「+」エントリを追加せず放置します。

「管理用にログイン許可する特定のユーザには、/etc/shadow にエントリを追加」とか応用もいろいろできそうですね。