Como ativar a autenticação LDAP somente para logins de SFTP

Se eu entendi sua pergunta corretamente, você deseja fornecer apenas sftp service (ou seja, nenhum log-in interativo via ssh ).

Você pode forçar conexões a usar o serviço sftp adicionando isso ao seu arquivo sshd_config :

ForceCommand internal-sftp

Isso está documentado na página sshd_config man:

ForceCommand
  Forces the execution of the command specified by ForceCommand, ignoring any
  command supplied by the client and ~/.ssh/rc if present.  The command is
  invoked by using the user’s login shell with the -c option.  This applies to
  shell, command, or subsys- tem execution.  It is most useful inside a Match
  block.  The command originally supplied by the client is available in the
  SSH_ORIGINAL_COMMAND environment variable.  Specifying a command of
  “internal-sftp” will force the use of an in-process sftp server that requires
  no support files when used with ChrootDirectory.

Você pode modificar /etc/pam.d/sshd para configurar o sshd para usar o módulo pam_ldap normal em vez do módulo pam fornecido pela Centrify.

Com essas alterações de configuração em vigor, sftp conexões usarão a autenticação LDAP normal e os shells interativos não estarão disponíveis.

Eu não acho que você poderia limitá-lo em pam, mas se você fizer todos os usuários que deseja restringir os membros de um grupo, você pode fazer com que o ssh restrinja o que esses usuários poderiam fazer através do grupo de blá.