Как запретить использование корневой учетной записи LDAP

Есть много способов, вот пара простых:

• в /etc/ssh/sshd_config изменить PermitRootLogin на "нет" (обычно это хорошая идея, тогда полагайтесь на su/sudo для администрирования). Это, конечно, влияет только на SSH.
• в различных конфигурационных файлах PAM используйте модуль pam_listfile для явного разрешения или запрещения определённых учётных записей (это нужно сделать для каждой службы)
• в различных конфигурационных файлах PAM конфигурируйте модуль pam_listfile. pam_ldap модуль pam_min_uid до 1 (или выше), чтобы корень не мог войти в систему (это нужно сделать для каждого сервиса)
• внести изменения в фильтр поиска PAM LDAP (pam_filter), чтобы либо исключить пользователей (e. g. pam_filter (uidNumber>=1), либо вы можете изменить базу/скоп

Любая из последних двух может подойти вам лучше всего. Вам также может понадобиться внести некоторые изменения в конфигурацию локального PAM, чтобы локальная учётная запись root через pam_unix могла успешно работать, если pam_ldap не работает (например, при заказе и необходимости/требовании/достаточности).