Já pensou em instalar o kerberos e o LDAP com conexão única? Uma vez que eles tenham se registrado no HostA, suas credenciais são armazenadas e elas podem fazer o login no HostB (HostC .etc) sem um prompt.
Pessoalmente, eu gosto do ssh usando o ssh-agent para armazenar minhas credenciais e então posso fazer o login em toda a rede sem me preocupar. Mas isso requer o uso de .ssh / authorized_keys, que você declarou que não queria fazer. Eu uso isso para executar scripts em toda a rede (scripts que não precisam de acesso root).