pam: stop in der chain bei falschen passwort

[lisan]

Hallo,

Wie kann ich in den pam regeln festlegen, dass bei vorhandensein eines accounts eine regel zwingend und nicht optional ist.
Im moment sieht es so aus:

Code: Alles auswählen

auth sufficient         pam_unix.so nullok_secure
auth required           pam_ldap.so try_first_pass

Ich moechte, dass wenn es keinen lokalen account gibt auf jedenfall gegen ldap authentifiziert werden muss. Gibt es aber den ersteren, lokalen zugang, soll bei falscher eingabe des passwortes nicht auf den ldap gegangen werden.
Folgendes passiert z.B. fuer den root user.

Code: Alles auswählen

~$ su root
Password:  # hier gebe ich etwas falsches ein
LDAP Password: 

Schoen waere so etwas:

Code: Alles auswählen

auth sufficient         pam_unix.so nullok_secure
if !wrongpassword
  auth required           pam_ldap.so try_first_pass