настроить selinux, чтобы разрешить sudoers на общей папке nfs

наша система выглядит следующим образом:

CentOS7
Шек для авторизации
домашние папки на общем ресурсе nfs
один файл sudoers в общей папке NFS для всех машин.

пока что пункты один и два работают нормально. но когда я меняю sudo.conf file, чтобы указать на глобальный файл sudo

/fs/global точка монтирования для общего ресурса NFS

внутри /etc/sudo.conf файл:

Plugin sudoers_policy sudoers.so sudoers_file=/fs/global/sudo/common/etc/sudoers

всякий раз, когда я пытаюсь сделать visudo, я получаю отказ в разрешении (я вошел в консоль как root)

Я думаю, что сузил проблему до того, что SELinux недоволен. Я знаю это, потому что если я отключу SELinux, он заработает. но для этой конкретной группы серверов загружаемые приложения требуют SELinux. Итак, какую магию мне нужно совершить, чтобы эта работа заработала?

authconfig, который я использую

/sbin/authconfig --enablenis
          --nisdomain="{{ pan_nis_domain }}"
          --nisserver="{{ pan_nis_fqdn }}"
          --passalgo="md5"
          --enablecache
          --update

и возможности для SELinux, которые у меня есть

- name: Set ypbind to allow NIS to run
  seboolean:
    name: allow_ypbind
    state: yes
    persistent: yes

- name: Allow home folders mapped across NFS drives
  seboolean:
    name: use_nfs_home_dirs
    state: yes
    persistent: yes

редактировать:

Журнал аудита не показывает ошибок

[root@cent1 audit]# tail -5 audit.log
type=CRYPTO_KEY_USER msg=audit(1553186275.802:2494): pid=26871 uid=0 auid=800 ses=5 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:79:94:71:c9:57:85:a7:cf:86:7c:ae:f7:29:7c:4c:16:75:33:a5:6f:17:e8:5e:f6:1c:73:75:56:e8:f1:91:17 direction=? spid=26875 suid=800  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
type=USER_AUTH msg=audit(1553186296.734:2495): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=USER_ACCT msg=audit(1553186296.736:2496): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=CRED_ACQ msg=audit(1553186296.765:2497): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=USER_START msg=audit(1553186296.776:2498): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_xauth acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
[root@cent1 audit]# visudo
visudo: /fs/global/sudo/common/etc/sudoers: Permission denied
[root@cent1 audit]# tail -5 audit.log
type=CRYPTO_KEY_USER msg=audit(1553186275.802:2494): pid=26871 uid=0 auid=800 ses=5 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=SHA256:79:94:71:c9:57:85:a7:cf:86:7c:ae:f7:29:7c:4c:16:75:33:a5:6f:17:e8:5e:f6:1c:73:75:56:e8:f1:91:17 direction=? spid=26875 suid=800  exe="/usr/sbin/sshd" hostname=? addr=? terminal=? res=success'
type=USER_AUTH msg=audit(1553186296.734:2495): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=USER_ACCT msg=audit(1553186296.736:2496): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=CRED_ACQ msg=audit(1553186296.765:2497): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
type=USER_START msg=audit(1553186296.776:2498): pid=26893 uid=800 auid=800 ses=5 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_xauth acct="root" exe="/usr/bin/su" hostname=cent1.mycompany.com addr=? terminal=pts/0 res=success'
[root@cent1 audit]#

centos selinux

@ Майкл Хэмптон, оказывается, ты был прав. Я новичок в этой сети и все еще учусь. Оказывается, пользовательская версия sudo, которую они здесь используют, лишена всех функций безопасности, таких как доступ к файлу sudoers. с использованием стандартного sudo, в случае сбоя, с использованием пользовательской версии, он работает. поэтому я настроил все для использования нашей внутренней пользовательской версии. Спасибо