Eu não acho que isso seja propenso a falhas, pois você pode ter um arquivo de sudoers de backup local, portanto, mesmo que o servidor LDAP esteja inoperante, você ainda pode usar o SUDO para mantê-lo e, assim, os administradores podem restaurar a conexão com o servidor LDAP .
É muito simples de fazer, e você preferirá ter um arquivo sudoers centralizado em vez de muitos sudoers locais quando tiver algo como mais 100 servidores para gerenciar.
Além disso, veja isto, extrair do site do sudo:
Usar o LDAP para sudoers tem vários benefícios:
-
O Sudo não precisa mais ler sudoers em sua totalidade. Quando o LDAP é usado, existem apenas duas ou três consultas LDAP por chamada. Isso faz com que seja especialmente rápido e particularmente utilizável em ambientes LDAP.
-
O sudo não sai mais se houver um erro de digitação nos sudoers. Não é possível carregar dados LDAP no servidor que não estejam em conformidade com o esquema sudoers, portanto, a sintaxe adequada é garantida. Ainda é possível ter erros de digitação em um nome de usuário ou host, mas isso não impedirá que o sudo seja executado.
-
É possível especificar opções por entrada que substituem as opções padrão globais. O / etc / sudoers suporta apenas opções padrão e opções limitadas associadas ao usuário / host / comandos / aliases. A sintaxe é complicada e pode ser difícil para os usuários entenderem. Colocar as opções diretamente na entrada é mais natural.
-
O programa visudo não é mais necessário. visudo fornece verificação de bloqueio e sintaxe do arquivo / etc / sudoers. Como as atualizações do LDAP são atômicas, o bloqueio não é mais necessário. Como a sintaxe é verificada quando os dados são inseridos no LDAP, não há necessidade de uma ferramenta especializada para verificar a sintaxe.