Странности с nss_ldap, pam_ldap и входом в систему

Начнем с того, что nss_ldap не может установить TLS соединение с сервером, если включено следующее:
tls_checkpeer yes
А вот pam_ldap может без проблем. Причём конфиг у них один на двоих в плане соединения с серваком.
Это, ладно я пока оставил. Но tls_checkpeer нужен, надо будет позже разобраться...

Далее.
Многим известна интересная "фитча":
1. создаем в системе пользователя с UID 1001, задал пароль1
2. создаем пользователя в LDAP с тем же UID, задал пароль2
3. проверяем вход - ходит под обоими паролями.
Выходит, что можно создать в лдапе пользователя с uid=root и uidNumber=0 и "взломать" локального root!

Ну не беда, нас спасает pam_min_uid. Например:
pam_min_uid 1000

...да. Спасает, да не совсем. Вcплывает не менее интересная фитча:
1. То же дублирование пользователей и UID в LDAP и в системе. Пусть UID пользователя = 800.
2. pam_min_uid 1000
3. проверяем вход... И не дает доступа ни для пароля локальной учетки, ни для пароля из LDAP...
Отсюда следует не менее интересный вывод: Если в конфиге зпрещён доступ для root (UID=0), то его дублированная запись в в LDAP автоматические блокирует вход root на комп вообще.

Подскажите, как сделать так, чтобы при совпадении пользователей из passwd и LDAP по именам и UID запретить доступ пользователю из LDAP, но при этом не блокировать пользователя из passwd?
Может это тоже где-то настраивается?

Мои конфиги:

/etc/openldap/slapd.conf

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema
include         /etc/openldap/schema/dyngroup.schema

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

modulepath      /usr/lib64/openldap/openldap
moduleload    back_hdb.so
moduleload    dynlist.so

access to dn.base=""
        by self write
        by users read
        by anonymous auth
access to dn.base="cn=Subschema" by * read

access to attrs=userPassword
        by self write
        by users read
        by anonymous auth
access to *
        by self write
        by users read
        by anonymous auth

Loglevel 256


TLSCACertificateFile    /etc/ssl/ldap/ca.cert
TLSCertificateFile      /etc/ssl/ldap/ldap.cert
TLSCertificateKeyFile   /etc/ssl/ldap/ldap.key

TLSVerifyClient demand
password-hash {SSHA}

database        hdb
overlay dynlist
dynlist-attrset groupOfURLs labeledURI member

suffix          "dc=local,dc=host"
checkpoint      32      30
rootdn          "cn=rootdn,dc=local,dc=host"
rootpw          {SSHA}...Хеш...
directory       /mnt/gimle/OLDAPData
index   ou,objectClass,uid,uidNumber,gidNumber  eq
index   cn,mail,surname,givenname               eq,subinitial

/etc/ldap.conf

base dc=local,dc=host
uri ldaps://localhost:636/
ldap_version 3

binddn cn=ldap,ou=daemons,dc=local,dc=host
bindpw secret

scope one

timelimit 30
bind_timelimit 30
bind_policy soft
nss_connect_policy persist

pam_filter objectClass=posixAccount
pam_login_attribute uid
pam_member_attribute gid
pam_min_uid 1000
pam_password ssha

nss_base_passwd ou=users,dc=local,dc=host?one
nss_base_shadow ou=users,dc=local,dc=host?one
nss_base_group  ou=groups,dc=local,dc=host?one

ssl on
tls_checkpeer no
tls_cacertfile /root/cert/ca.cert
tls_cert /root/cert/my.ldap.cert
tls_key /root/cert/my.ldap.key

nss_reconnect_tries 4                   # number of times to double the sleep time
nss_reconnect_sleeptime 1               # initial sleep value
nss_reconnect_maxsleeptime 16   # max sleep value to cap at
nss_reconnect_maxconntries 2    # how many tries before sleeping

/etc/nsswitch.conf

passwd:      files ldap
shadow:      files ldap
group:       files ldap

hosts:       files dns
networks:    files dns

services:    db files
protocols:   db files
rpc:         db files
ethers:      db files
netmasks:    files
netgroup:    files
bootparams:  files

automount:   files
aliases:     files

/etc/pam.d/system-auth

auth            required        pam_env.so
auth            sufficient      pam_ssh.so
auth            sufficient      pam_unix.so try_first_pass likeauth nullok
auth            sufficient      pam_ldap.so use_first_pass
auth            required        pam_deny.so

account         required        pam_unix.so
account         [default=bad success=ok user_unknown=ignore]      pam_ldap.so

password        required        pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password        required        pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password        sufficient      pam_ldap.so use_authtok
password        required        pam_deny.so

session         optional        pam_ssh.so
session         required        pam_limits.so
session         required        pam_env.so
session         required        pam_unix.so
session         optional        pam_permit.so
session         required        pam_mkhomedir.so skel=/etc/skel/ umask=0
session         optional        pam_ldap.so

Жду отзывов, кто сталкивался с такими ситуациями :)