Flanker (./17) :
Là, on est d'accord, ça va être le bordel

Mais je pense que la bonne solution, c'est de laisser les groupes du système être gérés par le système, et ne mettre que les utilisateurs en LDAP (c'est la solution la plus courante, si je ne m'abuse). Tu peux définir avec pam plusieurs moyens d'authentification, qui seront successivement essayés pour reconnaître un utilisateur.

Donc, en gros, pam assignerait de manière "dynamique" les groupes à l'utilisateur ? (genre audio, video, plugdev, cdrom, ...)