Dotaz: LDAP a parametr bind_policy

Zdravím, chtěl bych se zeptat, zda máte někdo zkušenosti s parametrem bind_policy v ldap.conf. Podle dokumentace jsem očekával, že hodnota hard způsobí, že se server snaží připojit "do aleluja" a hodnota soft, že to jednou dvakrát zkusí a pak skončí. Jenže celé se to chová nějak jinak:

Poskytovatel nám omylem zablokoval spojení na LDAP serer (Fedora DS) a ke klientovi (Fedora Core 5) se nedalo přes SSH přihlásit ani lokálními uživateli (nastaveno na hard). Takže jsem to přepnul na soft a už se dalo přihlásit alespoň lokálními uživateli. Když po asi dnu bylo připojení na LDAP server povoleno, tak se systém choval podivně. Lokální uživatelé fungovali, ale uživatelé z LDAPu ne. V logu se objevilo pouze:

sshd[10324]: nss_ldap: could not search LDAP server - Server is unavailable
sshd[10324]: fatal: login_get_lastlog: Cannot find account for uid 1002
sshd[10324]: syslogin_perform_logout: logout() returned an error

A objevilo se to tam okamžitě, ne až po vypršení nějakého timeoutu, z toho usuzuju, že ta informace o nedostupnosti serveru byla nejspíš někde nacacheovaná. Ovšem getent passwd 1002 i getent passwd fungovalo správně a vypisovalo i uživatele z LDAPu. I po restartu ssh daemona si sshd pořád trval na svém "server is unavailable". Pomohlo až přepnutí directivy bind_policy na hard.

Nevíte tedy někdo, zda ještě nějaká jiná direktiva neovlivňuje logiku připojování k LDAP serveru? Chtěl bych dosáhnout onoho slibovaného zkusím to jednou dvakrát, pak vyhodím chybu a tuhle informaci si budu cacheovat tak maximálně minutu dvě... A napadá někoho vysvětlení, proč se jedno nss_ldap (volané z getent) chová dobře a druhé (volané z sshd) ne?

Radek