подобное FreeIPA + Samba PDC

На данный момент имею OpenLDAP+Samba(PDC)
клиенты Windows, Gentoo, MacOS

Надо сделать связку OpenLDAP+Kerberos
т.е. FreeIPA но под Gentoo
http://freeipa.org/page/Main_Page
Авторизация будет проходить через Kerberos,
а данные будут храниться в OpenLDAP.

Настраивал Kerberos сервер на виртуалке, по ману
http://aput.net/~jheiss/krbldap/howto.html

Вот мой PAM:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_krb5.so use_first_pass
auth sufficient /lib/security/pam_unix.so likeauth nullok
auth required /lib/security/pam_deny.so

account required /lib/security/pam_unix.so
account required /lib/security/pam_access.so
account sufficient /lib/security/pam_krb5.so
account required /lib/security/pam_access.so

password required /lib/security/pam_cracklib.so retry=3 type=
password sufficient /lib/security/pam_krb5.so use_authtok
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/pam_deny.so

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session optional /lib/security/pam_krb5.so

Беда в том, что пароль по команде passwd не меняется:(
Эаходит в систему нормально, Kerberos билет получает.

Но при зменении пароля, меняется только /etc/shadow,
а Kerberos-пароль остается старым.
не помогает даже изменение в PAM стоки
password required /lib/security/pam_krb5.so

Какие есть идеи?