il problema era come immaginavo banale, ma dal momento che nessuno ha postato soluzioni la metto io per i posteri, si sa mai che possa essere utile ...

il tutto è dovuto all'arroganza di voler editare sudoers con un normale editor anzichè visudo.
(La differenza sta nel fatto che visudo segnala all'uscita eventuali errori nel file di configurazione gli altri editor giustamente no. Le soluzioni indicate nei miei post precedenti sono sintatticamente scombinate e quindi non funzionanti.)

in sudoers metto la riga
pippo ALL = (pluto) NOPASSWD: /bin/su pluto

script contiene invece :
sudo -u pluto whoami