Acontece que a resposta estava na documentação! Eu só precisava primeiro descobrir qual era o problema e, em seguida, voltar a verificar cada elemento da configuração:
link
Adicionando a opção " forward_pass " ao pam_sss.so diz ao módulo SSSD para colocar a senha digitada na pilha, para que outros módulos (por exemplo, pam_ecryptfs.so) possam usar as informações.
Assim, meu arquivo /etc/pam.d/common-auth ecryptfs + SSSD ativado é assim:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
Observação: ter a palavra "debug" no final da linha pam_ecryptfs.so também quebrou as coisas!
Eu certamente aprendi muito sobre o PAM, o ecryptfs e o gnome-keyring hoje! Espero que isso ajude as pessoas no futuro - e posso até enviar uma solicitação de recurso para adicioná-la como configuração padrão.