sudo -l, когда runas_default – другой пользователь

По причинам, чтобы использовать команды системного администрирования, необходимо использовать двухфакторную учетную запись. Эта учетная запись отличается от обычной учетной записи входа. Например, если стандартной учетной записью для входа является «Алиса», то двухфакторной учетной записью может быть «Алиса2».

У меня есть файл sudo (один для каждого разрешенного пользователя, в /etc/sudoers.d), который похож на следующее:

 Defaults:alice runaspw,runas_default=alice2 alice ALL=(alice2) /bin/bash 

Это работает в том, что «Алиса» запрашивается пароль для «Алиса2» (который является двухфакторным паролем), а затем «Алиса» изменяется на учетную запись «Алиса2». Оттуда у меня есть отдельный файл sudo который позволяет alice2 использовать любую команду sudo без пароля.

Таким образом, все выглядит нормально, если речь идет о двухфакторной аутентификации. Однако есть несколько команд, которые исключены из этого двухфакторного подхода (например, перезапуск некоторых служб на определенных машинах). У меня также есть, что работает, я думаю, по таким линиям, как

 Cmnd_Alias SRVCHTTPD = /usr/bin/systemctl restart httpd Defaults!SRVCHTTPD !runaspw,runas_default=root 

Здесь пользователю «Алиса» предлагается ввести пароль для «Алисы», и служба может быть перезапущена.

Теперь моя проблема. Когда пользователь делает sudo -l чтобы увидеть, какие команды могут быть выполнены, пользователю предлагается ввести двухфакторную учетную запись (alice2), а не основную учетную запись (alice). Я попытался добавить псевдоним команды ( следуя совету здесь по sudo -l ), по сути, реплицируя строки выше.

 Cmnd_Alias SUDOLIST = /usr/bin/sudo -l Defaults!SUDOLIST !runaspw,runas_default=root 

Однако этот подход не сработал, и пользователю все равно было предложено ввести пароль для двухфакторной учетной записи.

Буду признателен за любые советы о том, что я не делаю правильно здесь.