Оказалось, что если LightDM через директиву session-setup-script запускает процессы, которые тоже используют pam_mount, то pam_mount в LightDM не получает пароль и пишет всякое в таком роде:
pam_mount(pam_mount.c:476): warning: could not obtain password interactively either
pam_mount(mount.c:69): Messages from underlying mount program:
pam_mount(mount.c:73): crypt_activate_by_passphrase: Operation not permitted
pam_mount(pam_mount.c:521): mount of /dev/private failed
Соответственно шифрованный том LUKS не монтируется. Пришлось отключить pam_mount для всех приложений, кроме lightdm.

Если есть необходимость выполнять произвольные команды при  определённых событиях PAM, то можно использовать PAM-модуль pam_script,  который в Debian/Ubuntu находится в пакете libpam-script.
Например, если есть необходимость реализовать в Ubuntu/Debian запуск  определённых команд от пользователя при входе и выходе(login, logout)  пользователя через LightDM, то можно сделать это как-то так:
root# echo -e 'session\toptional\tpam_script.so' >> /etc/pam.d/common-session
root# cd /usr/share/libpam-script/
root# cat >> exlinolout.sh << EOF
#!/bin/sh

USER_UID=$(getent passwd "$PAM_USER" | cut -d ':' -f 3)
USER_HOME=$(getent passwd "$PAM_USER" | cut -d ':' -f 6)
if [ "$PAM_SERVICE" = 'lightdm' ] && [ "$USER_UID" -ge 1000 ]; then
	script=$(basename $0)
	case "$script" in
		'pam_script_ses_open' )
			if [ -f "${USER_HOME}/.login" ]; then
				sudo -H -u "$PAM_USER" sh -c '. ~/.login'
			fi
		;;
		'pam_script_ses_close' )
			if [ -f "${USER_HOME}/.logout" ]; then
				sudo -H -u "$PAM_USER" sh -c '. ~/.logout'
			fi
		;;
	esac
fi

exit 0
EOF
root # chmod +x exlinolout.sh
root # ln -vs exlinolout.sh pam_script_ses_open
root # ln -vs exlinolout.sh pam_script_ses_close
После этого можно в ~/.login и ~/.logout писать нужные sh-команды и они  будут исполняться при входе и выходе пользователя через LightDM. Для  прочих display manager'ов адаптировать скрипт должно быть несложно.

Я вчера что-то так случайно настроил, что не могу запустить ни один терминал из-под пользователя. Приходится сидеть под рутом.
А в вирутальных консольках зато можно логиниться без пароля.
Подозреваю, что виноват pam. Только в каком месте?

кто имел дело с настройкой pam аутенфикации, нужно следующее, настроить через ssh логин по ключу, но для не существующих в системе аккаунтов, тоесть как то объяснить ssh где смотреть авторизированные пабкеи для пользователей у которых в системе нет аккаунтов...

Вопрос для гуру pam: как сделать так чтобы в систему могли логиниться пользователи из ldap только определенной группы и локальные(то есть из /etc/passwd) пользователи любой группы? Я решение уже нашел, но вдруг что-то более элегантное найдется?