Tendo usuários su / sudo no Linux com base no grupo do Active Directory ao usar o pam_winbind

Estou usando o openSUSE 11.4, que tem a configuração do Active Directory integrada ao Yast (que faz todo o material pam_winbind, Kerberos, nss, Samba-client para você) e posso autenticar com êxito no meu domínio do AD.

Eu criei um grupo do AD chamado LinuxAdmins e gostaria de ter uma maneira de as pessoas desse grupo poderem usar su em determinados servidores Linux sem a senha de root ou o sudo nessas máquinas usando suas próprias senhas.

A maneira como o openSUSE configura o AD, ele define o nome de usuário com o domínio prefixado. Então meu nome de usuário seria MYDOMAN \ djsumdog. Se eu tentar adicionar uma das seguintes linhas ao arquivo sudoers, ainda não consigo usar o sudo com meu usuário. Eu continuo recebendo "MYDOMAIN \ djsumdog não está no arquivo sudoers. Este incidente será relatado." Eu tentei barras simples e duplas para os nomes de usuários e grupos.

%MYDOMAIN\LinuxAdmins ALL=(ALL) ALL
MYDOMAIN\djsumdog ALL=(ALL) ALL 

Eu sei na minha caixa do Gentoo, a seguinte linha no /etc/pam.d/su permite que os usuários no grupo wheel su sem uma senha:

auth       sufficient   pam_wheel.so use_uid trust

Mas isso não parece funcionar no openSUSE (mesmo com usuários locais), muito menos usuários do AD. Eu tentei usar o módulo pam_winbind.so também:

#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     include        common-auth
auth     sufficient     pam_winbind.so require_membership_of=MYDOMAIN\LinuxAdmins
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so

Mas não acho que funcione como o parâmetro require_membership_of parece ser para a autenticação primária em toda a máquina.

Eu sei que o sudo com a senha do usuário é mais seguro, mas ficaria feliz se conseguisse colocar o su ou o sudo funcionando validando o usuário em relação ao seu grupo AD.