PAMでsuでrootになれるユーザを限定する（suでスーパーユーザー（root）になれるユーザーを限定する）と、wheelグループに属さないユーザは、suでroot以外のユーザにもなれなくなってしまう。
[J] スーパーユーザー root へのスイッチを制限すると su 自体が機能しなくなる - Jamz (Tech)
PAM-0.78以降であれば、以下の方法で解決できるらしい。
（それより前のバージョンのPAMでは、解決方法はなさそう。）
・use_uidオプションを使用せず、root_onlyオプションを使用する。

auth       required     /lib/security/$ISA/pam_wheel.so root_only

Bug 161579: pam_wheel restricts "su - otheruser" for users of non wheel group