Espero que haja algo simples que esteja faltando aqui.
Tenho sistemas FreeIPA 4.6.6 (não é possível atualizar no momento), Centos 7 e Centos 6.
SELinux está em modo permissivo. Os logins no sistema Centos 6 são os esperados, utilizando o contexto configurado/fornecido pelo FreeIPA. Os logins no sistema Centos 7 são sempre ilimitados. (este não é o padrão fornecido pelo FreeIPA.
Estou com a depuração ativada para os módulos pam e estou vendo logs, mas sem erros. Os logs entre o CentOS 6 e 7 são iguais, mas o contexto fornecido para o CentOS 7 está incorreto. Não consegui localizar uma razão para isso.
Parece que o contexto do usuário não está sendo processado e/ou recebido corretamente pelo CenOS 7. Nós autenticamos apenas através do FreeIPA e não temos nenhum usuário local configurado.
Não há erros em secure ou audit.log. A autenticação é considerada bem-sucedida, mas não consigo encontrar mais ninguém com esse tipo de problema.