[linux] pam, su en sudo enzo

[Udo van den Heuvel]

Linux guru's,

Kan ik op een Fedora 34 systeempje (of ook Redhat 8.x) zowel de su 
blokkade functionaliteit van PAM gebruiken (zie /etc/pam.d/su) als sudo 
onafhankelijk daarvan?

Wat helderder:
In /etc/pam.d/su staat o.a.:

# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid

Dit betekent o.a. dat iemand in de wheel groep moet zitten om root te 
mogen worden.
(heerlijk om met zo'n instelling de hackpogingen opgesomd te zien bij inlog)

Daarnaast wil ik sudo regels inzetten.

Wat echter blijkt is dat met de su blokkade ingesteld, sudo /ook/ 
verwacht dat de gebruiker in de wheel groep zit.
En dat wil ik niet want ik zie twee verschillende groepen:

- mensen die root mogen worden vanwege hun rol
- mensen die slechst beperkte command's mogen uitvoeren als root ter 
bescherming tegen zichzelf (en andere overwegingen)


In /etc/sudoers de regels voor de "wheel" groep verwijderen heeft geen 
effect. En ik kreeg sudo niet normaal werkend zonder de bedoelde 
gebruiker in "wheel" te zetten danwel de su blokkade uit te schakelen.

Daarom:

Is er iemand met kennis van zaken in deze hoek?
Kan uiteengezet worden of wat ik wil daadwerkelijk kan of dat de 
impementatie van sudo kennelijk te beperkt is voor wat ik wil?
Als het kan: hoe?

Bij voorbaat dank!

Udo