>1. При логине доменного юзера из gdm, его хомка монтируется аж 3 раза (/bin/login, ssh и su отрабатывают как надо - глючит только gdm)

Естественно, т.к. у вас в /etc/pam.d/gdm указано:

@include common-session # в этом файле уже прописан pam_mount.so
session required   pam_mount.so use_first_pass # тут вы указываете его явно вручную
@include common-pammount # в этом файле тоже прописан этот модуль

а нужно просто:

@include common-session

>2. Есть локальный юзер administrator. При его логине тоже зачем-то монтируется хомяк с сервера, хотя используется всё-равно локальный.

Для того, чтобы не монтировался, можно использовать модуль pam_succeed_if.so, например:

session required pam_succeed_if.so uid > 10000
session optional pam_mount.so
@include common-session

>3. Как отмонтировать ресурс, после того, как пользователь вышел?

По умолчанию pam_mount сам отмонтирует ресурсы после logoff'а пользователя. Включите debug в /etc/security/pam_mount.conf.xml и смотрите, почему этого не происходит.

>4. Надо запретить доменным пользователям доступ к флешкам.

А в чем проблема? По умолчанию какие-либо ФС может монтировать только root. Просто отключите все automount'еры.