FreeIPAではグループが指定できるのだが筆者がよく使うグループにwheelグループがある。/etc/pam.d/su で1行コメントアウトを行うと wheel グループ(gid: 10)に属するメンバーだけがsuを実施できるようになるため、puppetにも登録して各VMに反映していたのだが、FreeIPAでも対象ユーザーのgidを10に設定することで実現できそうだ。