特定のコマンド グループに対して次の sudo オプションを使用するように IPA ドメインを構成しようとしています。
!authenticate
!requiretty
visiblepw
ローカルでは、次のデフォルトが に設定されています/etc/sudoers。
Defaults requiretty
Defaults !visiblepw
当初は、IPA(つまりldap)設定は無視され、ローカルのデフォルトが優先されます。しかし、/etc/nsswitch.confこれを変更した後、
sudoers files sss
これに
sudoers sss files
IPAのコマンドごとのsudoオプションが尊重されました。この郵便受けLDAP 全般に関しては、私の結果が正しいことが確認されています。ただし、なぜこれが機能するのかについては説明がありません。
実際、sudo LDAP ドキュメントには次のように書かれています。
Note that sudo does not stop searching after the first match and later
matches take precedence over earlier ones.
つまり、動作は私が見ているものとは逆になるはずです。
では、なぜこのように動作するのでしょうか? 可能であれば、ドキュメントの参照を提供してください。