Primeiramente, verifiquei as configurações do shell e adicionei a seguinte linha ao meu /etc/sss/sssd.conf:
[domain/example.org]
override_shell = /sbin/rbash
mas isso não resolveu o problema.
Depois de comentar a linha
account [default=bad success=ok user_unknown=ignore] pam_sss.so
em /etc/pam.d/common-auth os usuários do Active Directory podem fazer login com sua conta do AD.
Mas essa configuração afeta mais serviços de login do que apenas o vsftpd. Por isso, removi o comentário dessa linha (voltando à versão original) e alterei a configuração do pam vsftpd'd:
/etc/pam.d/vsftpd :
# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
# Standard pam includes
##@include common-account
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account requisite pam_deny.so
account required pam_permit.so
account sufficient pam_localuser.so
@include common-session
@include common-auth
auth required pam_shells.so