myuser ALL = (tomcat) /bin/cp
é o mais simples possível. você pode permitir que todos os membros do grupo tomcat façam isso colocando
%tomcat ALL = (tomcat) /bin/cp
Esse ALL
refere-se ao host em questão; se você usar esse arquivo sudoers em mais de um host, seria inadequado, mas se esse arquivo sudoers for particular para esse host, ele é seguro o suficiente e evita problemas com o que a máquina acha que é seu nome de host.