Ich versuche, eine IPA-Domäne so zu konfigurieren, dass die folgenden Sudo-Optionen für eine bestimmte Befehlsgruppe verwendet werden:
!authenticate
!requiretty
visiblepw
Lokal sind folgende Voreinstellungen eingestellt /etc/sudoers:
Defaults requiretty
Defaults !visiblepw
Zunächst werden die IPA-Einstellungen (also LDAP-Einstellungen) zugunsten der lokalen Standardeinstellungen ignoriert. Nach der Änderung /etc/nsswitch.confvon dieser
sudoers files sss
Zu diesem
sudoers sss files
Die befehlsspezifischen Sudo-Optionen des IPA wurden beachtet. Ich fanddieser Beitrag, in Bezug auf LDAP im Allgemeinen, das bestätigt meine Ergebnisse. Es gibt jedoch keine Erklärung, warum dies funktioniert.
Tatsächlich heißt es in der sudo LDAP-Dokumentation Folgendes:
Note that sudo does not stop searching after the first match and later
matches take precedence over earlier ones.
Das bedeutet, dass das Verhalten das Gegenteil von dem sein sollte, was ich sehe.
Warum funktioniert es also so? Bitte geben Sie, wenn möglich, einen Dokumentationsverweis an.