selinux был включен, но restorecon вообще не запускался. Каким-то образом в нашей подготовке это произошло, возможно, yum установил docker -ce.
Проблема устранена следующим образом::
добавил эту строку ldap_tls_reqcert=allow
в конец /etc/sssd/sssd.conf
и скопировал /root/LDAP/ca.crt
с сервера ldap на конкретный проблемный узел /etc/pki/ca-trust/extracted/pem/ca.crt
и перезапустил службу sssd ,service restart sssd