Não sei se entendi bem qual é o problema.A autenticação, restrições, etc, é feita na ordem em que os módulos de autenticação aparecem nos arquivos de configuração do PAM "/etc/pam.d/common-*". Já a resolução de nomes é feita na ordem em que as bases de informação aparecem no arquivo de configuração do NSS "/etc/nsswitch.conf". A sequência das bases consultadas pelo PAM e pelo NSS não precisam ser iguais.
Ou seja, independentemente de onde a autenticação tiver sido feita, a identificaçãodo do usuário que acabou de ser autenticado é feita pelo NSS. Mesmo existindo um usuário root localmente a identificação do root é feita pela primeira base onde o usuário for encontrado (conforme o arquivo nsswitch.conf), se por exemplo, o ldap for a primaira base de consulta do NSS e existir um usuário root no ldap com um uid=1000, para o sistema local root é um usuário comum.
O superusuário do sistema não é necessariamente o "root", mas sim, quaisquer usuários com uid=0, e "normalmente" é só o root que tem o uid com esse valor.
Edmundo Valle Neto Márcio Luciano Donada escreveu:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Pessoal, Instalei a pouco um debian autenticando na nossa base ldap, só que a senha do root ele está aceitando, mas infelizmente está pegando o usuário da base LDAP e localmente o root não tem permissão para nada. Alguma dica? Márcio -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.3 (FreeBSD) iD8DBQFEZJqhyJq2hZEymxcRAnvgAJ46iyMH/GeQz/06kE50ttz6TSs6TACglDR3 4PYyIedNisUmSDLIsUqqyhs= =D1DU -----END PGP SIGNATURE-----