flanker (./795) :
Je ne suis pas sûr : pour moi, root va pouvoir prendre l'identité de n'importe quel utilisateur défini dans getent passwd (sachant que getent passwd prend un login et fournit un uid/gid en échange, en cherchant dans toutes les bases configurées : /etc/passwd, LDAP, NIS, …).
Bien sûr, on ne parle que de la fourniture d'identité par LDAP (via getent), pas la fourniture de mot de passe (même si les deux généralement stockés au même endroit dans LDAP, ça pourrait être deux LDAP différents).
Si l'utilisateur en question ne s'est pas connecté, root n'aura pas de credentials à voler et donc il ne pourra pas monter les partages réseau (par exemple son home) — à nouveau, sauf si le serveur de fichier n'est pas un gros trou de sécurité à lui tout seul.

Dans cette situation, getent fait une requête LDAP sur le serveur qui va retourner l'uidNumber. Faut-il que le système Unix en question soit configuré avec un utilisateur LDAP permettant de faire des requêtes qui retournent l'uidNumber (ou que l'uidNumber revienne avec une requête anonyme), ce qui n'est pas forcément le cas : tu peux très bien récupérer l'uidNumber à la négociation de la session par PAM, avec l'utilisateur seul qui soit en mesure de récupérer cet attribut dans l'annuaire. Du coup, dans ce cas-là, getent passwd ne renverra rien, mais un login fonctionnera. Et root, sauf s'il existe dans l'annuaire évidemment, ne pourra pas récupérer un uid pour devenir "quelqu'un d'autre du réseau).

(Mais sinon oui, on est fondamentalement d'accord ^^)