ログイン時のパスワード認証の仕様
(1) /etc/shadowをみる
(2) /etc/shadowのアクセス拒否されたなら，
(3) /sbin/unix_chkpwdコマンドを使って/etc/shadowを読んで認証する
となっていることが判明。
ということは，
permissiveモードだと，(1)でパスワード読みこみ成功し，
unix_chkpwdコマンドを使わないことになる。
で，enforcingモードだと（３）で認証する。
dontaudit (ログイン関係ドメイン) shadow_t: r_file_perms
しないと，enforcingモードでは常にetc_shadowへのアクセス拒否がでて気持ち悪い。
（デフォルトの設定ではdontauditしてある）