Depois que Ulrich Schwarz mencionou um módulo PAM personalizado nos comentários para a pergunta, percebi que poderia ir e ver o que o SLES, que faz do Blowfish o padrão, está usando.
Acontece que é um módulo separado chamado pam_unix2.so que não está em conflito com nada no sistema CentOS. Como prova de conceito, copiei /lib64/security/pam_unix2.so de um sistema SLES 11 SP4 para /usr/lib64/security/pam_unix2.so no host CentOS e baixei e instalei sua dependência libxcrypt que novamente é um pacote SuSE, mas funciona no CentOS 7 para este propósito limitado.
Adicionando
auth sufficient pam_unix2.so
para /etc/pam.d/system-auth me permite autenticar contra uma senha criptografada pelo Blowfish no console.
Para garantir que authconfig não irá quebrar a configuração na próxima chamada, o link simbólico /etc/pam.d/system-auth que aponta para /etc/pam.d/system-auth-ac deve ser substituído por uma cópia de /etc/pam.d/system-auth-ac .
Linha de fundo: O módulo pam_unix2 do SuSE parece ser o método menos invasivo para receber os hashes do Blowfish, embora isso também signifique que eu precisaria monitorar anúncios de segurança para pam_unix2 e libxcrypt separadamente.