Заменять локальные значения sudo по умолчанию с помощью sss или ldap

Я пытаюсь настроить домен IPA для использования следующих параметров sudo для определенной группы команд:

!authenticate !requiretty visiblepw 

Локально в /etc/sudoers задаются следующие значения по умолчанию:

 Defaults requiretty Defaults !visiblepw 

Первоначально параметры IPA (т.е. ldap) игнорировались бы в пользу локальных значений по умолчанию. Однако после изменения /etc/nsswitch.conf из этого

 sudoers files sss 

К этому

 sudoers sss files 

Были соблюдены параметры sudo для каждой команды IPA. Я нашел этот пост , касающийся LDAP в целом, что подтверждает мои результаты. Однако он не дает объяснений, почему это работает.

Фактически, в документации LDAP Sudo сказано следующее:

 Note that sudo does not stop searching after the first match and later matches take precedence over earlier ones. 

Это подразумевает, что поведение должно быть противоположным тому, что я вижу.

Так почему это работает так? Если возможно, укажите ссылку на документацию.

Linux и Unix - лучшая ОС в мире.