Você provavelmente poderia lidar com isso com o módulo pam_listfile
. Crie um arquivo /etc/pam.d/sshd
parecido com:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
Isso permitiria que apenas as pessoas listadas em /etc/authusers
pudessem se autenticar com um módulo de dois fatores (no nosso caso, secureid). Eu não testei realmente essa configuração, mas a teoria é sólida.
Você poderia simplificar permitindo que qualquer pessoa autentique usando a autenticação de dois fatores; presumivelmente, apenas as pessoas com os dispositivos / configurações apropriados seriam capazes de ter sucesso, então você obteria efetivamente o mesmo comportamento.