Можно избавиться от скрипта, если использовать sssd. Мы протестили на Debian 8,9 и на centOS 7, всё работает. Единственное, не получилось настроить создание хомяка в Debian через sssd, поэтому приходится по старинке править pam файл. Но если использовать к примеру ansible для настройки, то это облегчает работу. НО!, у sssd есть преимущество - оно сразу умеет в sudo. Вот так примерно выглядит маппинг атрибутов:
ldap_user_name = uid
ldap_user_shell = loginShell
ldap_user_home_directory = homeDirectory
ldap_user_ssh_public_key = sshPublicKey
ldap_access_filter = (!(memberof=cn=groupname,ou=Groups,dc=domain,dc=ru))
ldap_group_member = memberuid
И вот так выглядит настройка ssh:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser sssd
Для нас это лучше тем, что не нужно в скрипте указывать данные для биндинга к ldap или открывать к ним анонимный доступ, а учетные данные берутся из sssd.conf
Может кому пригодится