(Все что ниже это про Linux)
Есть PAM (Pluggable Authentication Modules) — грубо говоря, библиотека для аутентификации пользователей. Сделано для того, чтобы администратор мог менять политику аутентификации для всех приложений, которые пользуются PAM. В Linux-среде это довольно таки много приложений. Приложение, которое использует PAM, само не выполняет аутентификацию, оно вызывает процедуры в библиотеке, которые в свою очередь на основе конфигов (например, в /etc/pam.d/*) выполняют шаги, заданные администратором. shadow — это один из механизмов аутентификации, которые есть в PAM. При входе в систему программа выполняет аутентификацию через PAM и если она успешна, то просто запускает еще один процесс с UID пользователя, который вошел в систему. Для ядра паролей/аутентификации нет, оно "видит" лишь процессы, у каждого из которых есть свой UID. Процесс с UID 0 может запустить процесс с любым другим UID (любым который "влезет" в тип C-переменной uid_t), даже если этого UID нет нигде.
