En revanche, tu as plusieurs possibilités pour stocker les informations de l'utilisateur (celles-ci peuvent être stockées dans un LDAP, et ça consiste essentiellement en UID/GID) et, indépendamment de ces informations, il y a plusieurs possibilités pour vérifier son authentification.
Tu peux très bien avoir une authentification purement locale d'un utilisateur dont les caractéristiques sont stockées dans un LDAP, ou au contraire une authentification réseau d'un utilisateur dont le UID/GID est défini localement. Tu peux très bien définir plusieurs méthodes d'authentification (réseau en premier et local en secours, par exemple) pour un même utilisateur, et tu peux également définir plusieurs sources pour l'UID/GID du même utilisateur (en réseau ou locales, charge à toi d'assurer la cohérence si tu ne veux pas avoir de soucis ^^).
Partant de là, je ne vois pas trop comment root ne pourrait se faire passer que pour certains utilisateurs
Fondamentalement, ça reste cohérent : root peut modifier tout fichier local (ce qui ne veut pas dire modifier toutes les méthodes d'authentification locales), mais pas les éléments distants (sauf trucs particulièrement mal foutus comme NFS v. 3), qu'ils concernent les utilisateurs définis localement ou en réseau.