Resolvido. Sinto falta de entender o conceito. Na verdade eu pensei gid representar os ids de grupo do usuário que está tentando executar o comando su. Mas isso realmente representa os IDs de grupo do uso de destino.
Estou tentando desabilitar su para IDs de grupo de chamada ( gid ) que igual ou maior que 1003 .
Minha solução foi a seguinte, mas não funcionou. Ele falhou para os usuários que também têm menos lances.
Solução falhada:
Edite o /etc/pam.d/su
Adicione linha,
auth required pam_succeed_if.so quiet gid >= 1003
Alguma idéia de por que isso falha?