Проблемы с подключением к клиентскому хосту freeIPA через ssh

Я пытаюсь настроить среду IPA с сервером и клиентами CentOS 7.3, и у меня такое поведение, которое я не могу понять. Я использую IPA версии 4.4.0.

Я смог бежать ipa-server-install на сервере и ipa-client-install на клиенте без проблем. Затем я добавил нового пользователя foo в дополнение к уже существующему пользователю admin, который автоматически устанавливается IPA для целей администрирования.

Теперь о странной части:

Я могу получить билет Kerberos с kinit <user> для обоих admin а также fooТакже на клиентской машине. Таким образом, кажется, что установка прошла успешно, я могу получить билет Kerberos на всех хостах и, если вы вошли в систему как root, su - foo также работает без проблем. Кроме того, когда я пытаюсь войти через ssh на компьютер сервера IPA, скажем, ssh foo@servermachine, Отлично работает. Тем не менее, если я пытаюсь войти в систему клиента IPA, т.е. ssh foo@clientmachine Я немедленно отключаюсь:

! user@machine >ssh foo@clientmachine
Password:
foo@clientmachine's password:
Connection closed by 172.27.0.104

Интересно, что ssh дважды запрашивает пароль. ssh -vvv после второй попытки ввода пароля:

foo@clientmachine's password:
debug3: packet_send2: adding 64 (len 57 padlen 7 extra_pad 64)
debug2: we sent a password packet, wait for reply
Connection closed by 172.27.0.104

Более интересная сторона находится на клиенте (ssh сервере), где journalctl -xeft sshd показывает это сообщение после первого ввода пароля:

Jun 29 15:53:00 clientmachine sshd[5464]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:53:00 clientmachine sshd[5464]: pam_krb5[5464]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:53:01 clientmachine sshd[5464]: pam_sss(sshd:account): Access denied for user foo: 4 (System error)
Jun 29 15:53:01 clientmachine sshd[5461]: error: PAM: User account has expired for foo from machine.domain.com

и второй раз:

Jun 29 15:56:10 clientmachine sshd[5483]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: TGT verified using key for 'host/clientmachine@REALM'
Jun 29 15:56:10 clientmachine sshd[5483]: pam_krb5[5483]: authentication succeeds for 'foo' (foo@REALM)
Jun 29 15:56:10 clientmachine sshd[5483]: Failed password for foo from 10.128.34.50 port 55327 ssh2
Jun 29 15:56:10 clientmachine sshd[5483]: fatal: Access denied for user foo by PAM account configuration [preauth]

Я дважды проверил, что срок действия учетной записи не истек, и, как уже было сказано, вход в систему под именем пользователя foo через ssh работает без проблем, если я подключаюсь к компьютеру с IPA-сервером. Соответствующие sshd журнал:

Jun 29 16:00:11 servermachine sshd[29995]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=machine.domain.com user=foo
Jun 29 16:00:11 servermachine sshd[29992]: Accepted keyboard-interactive/pam for foo from 10.128.34.50 port 34662 ssh2
Jun 29 16:00:11 servermachine sshd[29992]: pam_unix(sshd:session): session opened for user foo by (uid=0)

Подводя итог:

• kinit foo на сервере: работает
• kinit foo на клиентской машине: работает
• su - foo при входе в систему как root на сервере: работает
• su - foo при входе в систему как root на клиентской машине: работает
• ssh foo@servermachine: Работает
• ssh foo@clientmachine: Не работает! ssh клиент немедленно отключается

Я не могу понять, что происходит, и я был бы признателен за любую помощь!