sss または ldap を使用したローカル sudo デフォルト値のオーバーライド

sss または ldap を使用したローカル sudo デフォルト値のオーバーライド

特定のコマンドグループに対して次のsudoオプションを使用するようにIPAドメインを設定しようとしています。

!authenticate
!requiretty
visiblepw

ローカルでは、次のデフォルト値は次のように設定されます/etc/sudoers

Defaults requiretty
Defaults !visiblepw

最初は、ローカルデフォルトのIPA(つまりldap)設定は無視されます。しかし、/etc/nsswitch.conf今回の変更後は

sudoers files sss

これに関して

sudoers sss files

IPA のすべてのコマンド sudo オプションが尊重されます。私が見つけたこの投稿LDAPに関しては、これは私の結果を確認します。しかし、それがなぜ機能するのか説明しません。

実際、sudo LDAP文書には次のように記載されています。

Note that sudo does not stop searching after the first match and later
matches take precedence over earlier ones.

これは、行動が私が見ているものと反対でなければならないことを意味します。

では、なぜこのようなことが起こるのでしょうか?可能であれば、文書参照を提供してください。

関連情報