Hoffentlich übersehe ich hier etwas Einfaches.
Ich habe FreeIPA 4.6.6 (kann derzeit nicht aktualisiert werden), Centos 7- und Centos 6-Systeme.
SELinux ist im permissiven Modus. Anmeldungen auf dem Centos 6-System erfolgen wie erwartet unter Verwendung des von FreeIPA konfigurierten/bereitgestellten Kontexts. Anmeldungen auf dem Centos 7-System sind immer uneingeschränkt. (Dies ist nicht die von FreeIPA bereitgestellte Standardeinstellung.)
Ich habe das Debuggen für die PAM-Module aktiviert und sehe Protokolle, aber keine Fehler. Die Protokolle für CentOS 6 und 7 sind gleich, aber der für CentOS 7 angegebene Kontext ist falsch. Ich konnte keinen Grund dafür finden.
Es scheint, als würde der Benutzerkontext von CenOS 7 nicht richtig verarbeitet und/oder empfangen. Wir authentifizieren uns nur über FreeIPA und haben keine lokalen Benutzer konfiguriert.
Es gibt keine Fehler in secure oder audit.log. Die Authentifizierung wird als erfolgreich angezeigt, aber ich kann niemanden finden, der dieses Problem hat.