O uid > = 500? No RHEL / CentOS, a configuração padrão do PAM tem uma verificação de uid. Outra possibilidade poderia ser a senha expirada (se você definir como root usando passwd <username>
) - um login ao invés de su para o usuário revela algum problema lá? Funciona usando a autenticação do Pubkey em vez de uma senha?
O motivo provavelmente está registrado no authlog, e a solução de problemas sem esses dados de log é realmente apenas especulação.