La migración de OpenLDAP1 a OpenLDAP2 no fue mayor problema. El dolor de cabeza lo ha causado la integración entre cyrus-imapd y SASL2.

En Debian han reparado los problemas que tenían con la libnss-ldap y funciona perfecto, al menos con el servicio ssh.

El dolor de cabeza lo está causando cyrus-imapd (2.1.4), el cual utiliza SASL2. Este último, según la documentación es menos poderoso que PAM, pero mucho más fácil de configurar(!?). Quizás sea un detalle, pero por ahora no lo veo.

cyrus-imapd no conoce de cuentas locales, sino que las especialmente para el correo, pero no se encarga de la autenticación, sino que la solicita a través de SASL, el cual puede utilizar PAM entro otros métodos. Por el momento cyrus-imapd no es capaz de encontrar al servidor saslauthd por alguna razón (al cual se comunica mediante un socket) y mientras no lo haga, no existen los usuarios de correo.