Depois de muita confusão com as expressões das definições acima de Runas_Alias , desenvolvi a seguinte configuração que funciona para todas as três combinações de invocação de sudo como usuário não administrador (por exemplo, raboof:users ):
User_Alias USER_USER = ALL, !#0, !%#0, !%wheel
Runas_Alias RUNAS_USER_USER = ALL, !#0, !%#0, !%wheel
Runas_Alias RUNAS_USER_GROUP = ALL, !#0, !wheel
Defaults:USER_USER targetpw
USER_USER ALL = (RUNAS_USER_USER:RUNAS_USER_GROUP) ALL
foobar $ sudo -u raboof id
uid=1000(raboof) gid=100(users) groups=100(users)
foobar $ sudo -g users id
uid=1000(foobar) gid=100(users) groups=100(users)
foobar $ sudo -u raboof -g users id
uid=1000(raboof) gid=100(users) groups=100(users)
Aninhar e negar as definições definidas anteriormente de Runas_Alias da seguinte forma não funcionou por algum motivo desconhecido:
Runas_Alias RUNAS_ADMIN_USER = #0, %#0, %wheel
Runas_Alias RUNAS_ADMIN_GROUP = #0, wheel
Runas_Alias RUNAS_USER_USER = ALL, !RUNAS_ADMIN_USER
Runas_Alias RUNAS_USER_GROUP = ALL, !RUNAS_ADMIN_GROUP