Bon bah Flan a répondu
En fait, quand tu définis l'ordre de recherche d'authentification (paramétrage de pam), tu indiques un ordre de recherche. Si l'information n'est pas trouvée dans le premier référentiel, on passe au suivant. Tu peux très bien avoir la gestion des groupes qui se fait dans l'ordre suivant : ldap - /etc/groups/ - une autre méthode d'authentification (kerberos, utilisateur mysql ou que sais-je, pourvu qu'il y ait un composant pour pam).
Ca permet plein de choses :
- Ne pas mettre d'usager root dans l'annuaire (donc si je me fais pirater mon annuaire, personne ne pourra passer en root)
--> A l'authentification, pour root, comme il ne le trouve pas dans l'annuaire, il va dans /etc/passwd /etc/shadow
- Mettre un usager root dans l'annuaire (donc je peux changer très rapidement et facilement mon mot de passe root et ça a une incidence directe sur toutes mes machines)
--> En cas de rupture de service de l'annuaire, je peux toujours me connecter avec le compte root donné dans /etc/passwd
En fait, pam est un outil particulièrement puissant (mais un peu mal foutu parfois, et certains connecteurs sont franchement buggés). Il te permet de gérer les méthodes d'authentification, les priorités, le fallback, ce à quoi tu t'authentifies (tu peux par exemple associer un montage smb/cifs à une ouverture de session Linux, le mot de passe est récupéré directement au moment de l'authentification, pas besoin d'avoir un trou de sécu avec le mot de passe en clair dans fstab/à retaper à chaque montage), suivant le procédé d'authentification (console, ssh, etc.).