Problemas na conexão com um host do cliente freeIPA via ssh

Estou tentando configurar um ambiente IPA com um servidor e clientes CentOS 7.3 e estou tendo um comportamento que não consigo entender. Estou usando o IPA versão 4.4.0.

Consegui executar ipa-server-install no servidor e ipa-client-install no cliente sem problemas. Em seguida, adicionei um novo usuário foo além do usuário já existente admin , que é configurado automaticamente pelo IPA para fins de administração.

Agora para a parte ímpar:

Eu posso obter um tíquete do Kerberos com kinit <user> para admin e foo , também na máquina do cliente. Portanto, parece que a configuração foi bem-sucedida. Consigo obter um tíquete Kerberos em todos os hosts e, se você fez logon como root, um su - foo também funciona sem problemas. Além disso, quando tento efetuar login no ssh para a máquina IPA server , digamos ssh foo@servermachine , funciona como um encanto. No entanto, se eu tentar efetuar login na máquina cliente do IPA, ou seja, ssh foo@clientmachine , serei desconectado imediatamente:

! user@machine >ssh foo@clientmachine
Password:
foo@clientmachine's password:
Connection closed by 172.27.0.104

Curiosamente, ssh pede a senha duas vezes. ssh -vvv após a segunda tentativa de senha:

foo@clientmachine's password:
debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64)
debug2: we sent a password packet, wait for reply
Connection closed by 172.27.0.104

O lado mais interessante está no cliente (servidor ssh), onde journalctl -xeft sshd mostra essa mensagem depois de digitar a senha pela primeira vez:

Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error)
Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com

e a segunda vez:

Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2
Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]

Eu verifiquei duas vezes se a conta está não expirada e, além disso, como dito antes, faça o login como usuário foo via ssh funciona sem problemas se eu me conectar à máquina do servidor IPA. O respectivo sshd log:

Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2
Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)

Resumindo:

• kinit foo na máquina do servidor: Works
• kinit foo na máquina do cliente: Works
• su - foo quando logado como root na máquina do servidor: Works
• su - foo quando logado como root na máquina cliente: Works
• ssh foo@servermachine : funciona
• ssh foo@clientmachine : Não funciona! , o cliente ssh é desconectado imediatamente

Não consigo entender o que está acontecendo e gostaria de receber ajuda!