Идеальный способ ограничить запросы конфигурации sudoers ldap анонимными пользователями

Я нашел правильный подход:

• Создайте нового пользователя в LDAP, скажемcn=sudoread,dc=example,dc=com

cat > /tmp/tmplif <<EOF
dn: cn=sudoread,dc=example,dc=com
objectClass: top
objectClass: person
cn: sudoread
sn: read
userPassword: sudoread
EOF
$ ldapadd -H ldap://localhost -f /tmp/tmplif -D 'cn=root,dc=example,dc=com' -W
$ printf "sudoread" | base64
c3Vkb3JlYWQ=

• Предоставьте доступ к ou=sudoers,dc=example,dc=comдля пользователя, созданного выше, прежде чем предоставлять полный доступ.

access to dn.one="ou=sudoers,dc=example,dc=com"
        by dn="cn=sudoread,dc=example,dc=com" read
access to *
        by * read

• Использовать параметры binddn и bindpw в sudo -ldap.conf:

$ cat >> /etc/sudo-ldap.conf <<EOF
binddn cn=sudoread,dc=example,dc=com
bindpw base64:c3Vkb3JlYWQ=
EOF

Это создаст пользователя, которого можно использовать для запросов к ldap и сохранения доступа остальных пользователей LDAP ко всему.