Forum Linux.général empêcher root d'utiliser un user non local (AD/ldap)

Bonjour,

Ca fais un petit moment que je me prend la tête avec pam pour empêcher l'accès aux utilisateur AD/ldap à root avec un simple su - monuserAD sans y parvenir.

Je sais très bien que ça n’emperchera pas le root mal intentionné de modifier le fichier /etc/pam.d/su pour se re-attribuer ce genre de droit, mais ça limite un petit peu le problème.

Voilà ce que le fichier ressemble sur une redhat/centos :

#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so

Si quelqu'un à une idée de comment parvenir a mes fins …
Sachant qu'il faut que root puisse continuer à faire des su sur les utilisateurs locaux sans mdp. (principalement à cause de scripts codé comme ça).

Merci d'avance à toutes les moules qui pourront m'aider.