(Вроде как решено)
По рекомендации в разделе Troubleshooting Authentication, Password Change and Access Control из
https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html :
If the user info can be retrieved, but authentication fails, the first place to look into is /var/log/secure or the system journal. Look for messages from pam_sss.
проверил journalctl|grep pam_sss :
pam_sss(lightdm:auth): authentication success; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=доменный_аккаунт
pam_sss(lightdm:account): Access denied for user доменный_аккаунт: 4 (System error)
выставил отладку для pam в 7 в sssd.conf
В sssd_pam.log увидел ту же 4 ошибку в разделе SSS_PAM_ACCT_MGMT
В krb5_child.log:
[sss_send_pac] sss_pac_make_request failed [-1][2]
[validate_tgt] sss_send_pac failed, group membership for user with principal [аккаунт\@домен] might not be correct.
Но далее заканчивается с кодом 0, successfully.
Выставил в разделе [домен] sssd.conf access_provider = permit
Вошел.
После возвращения к access_provider = ad и добавления опции ad_access_filter 4-я ошибка сменилась на 6 (Permission denied)
Никакие варианты фильтра не подошли и я вернулся к access_provider = permit