Если пользователей авторизовать в LDAP (через pam_ldap) можно как-нибудь придумать чтоб пароли хранились не в CRYPT, а например в SHA? Хотя не работает вообще ничего кроме CRYPT, даже элементарный md5.
pam_password в pam_ldap.conf менял - не помогает, хотя и не должно влиять судя по описанию.