ldapsearch -x -b "uid=hoge,〜" は OK なのに、"id hoge" は上手く行かない理由が判った。
id コマンドがldapサーバにユーザを探しに行く時のクエリのフィルタが

filter="(&(objectClass=posixAccount)(uid=hoge))"

だったのに対して、サーバ側でこのクエリが解決できなかったのが問題らしい。
良くわからなかったのでディレクトリーのデータベース作り直したら上手く行くようになったのだけど、多分ディレクトリ階層のいっちゃん上の objectClass: organizationだかdcObject のエントリ作るのをすっぽかしていたのが原因だったらしい。

id がちゃんと通るようになったら /etc/pam.d/* を直して ldap のユーザでログインできるようになるまではすんなり。問題調べてたら何となく人並み風には OpenLDAP わかるようになってきた。
おおー、すごい、すごいよOpenLDAP素敵。仕事では使わないけど。
次に暇になったらwebアプリのフォーム認証OpenLDAPで試してみんべえ。
今日は寝よ。