sudoで「password for ***:」と「LDAP password:」の2つのパスワードを入力しなきゃいけなくて発狂しそうになった時
/etc/pam.d/common-auth
auth [success=1 default=ignore] pam_ldap.so use_first_pass
を
auth [success=1 default=ignore] pam_ldap.so try_first_pass
に変えればOK。
でも変えるとpam-auth-updateが管理できなくなるから、
一旦pam-auth-updateでオフって/usr/share/pam-configs/ldap変更して再度適用するとよさげ。