Nil (./22) :
Ca, dans un environnement sécurisé, c'est pas forcément un bien, ça veut dire que si ton service LDAP principal se fait hacker, les comptes du serveur le sont aussi ; ça veut dire aussi que les usagers créés peuvent se connecter directement sur le serveur. Disons que c'est tolérable dans une utilisation domestique ou machine serveur=machine cliente.
Bon, en pratique, de nombreuses distributions (Mandriva le faisait, en tout cas, je ne sais pas si ça a été conservé), au moment de l'installation on te demande où tu veux stocker les comptes locaux (shadow/passwd, LDAP local, LDAP distant...). Mais ça a dû être désactivé parce que ça posait pas mal de problèmes (quand tu dois mettre à jour ton service LDAP, ça casse des liens et les sudo se font mal, donc c'était interdit).

Euh.. t'es pas obligé de passer par LDAP (ou autre), c'est juste qu'il est capable de générer automatiquement les bons paramètres tout seul... De la même façon, il détecte tout seul les différents services sur le réseau local, si ta base LDAP est fournie par un autre OS X serveur sur le réseau local, elle te sera proposée dans la liste... Tout comme pour les certificats, tu n'as pas à t'emmerder à aller chercher les bons fichiers pem/crt/key pour chaque service (surtout si c'est les mêmes à chaque fois), tu renseignes une fois le champ kivabien et il va te permettre de le sélectionner facilement pour les autres services (et il va vérifier que les droits sont corrects sur les fichiers, accessoirement).