Você também precisa de ChallengeResponseAuthentication yes
em /etc/ssh/sshd_config
.
Para exibir o erro, pam
precisa de uma função de conversa.
Esta opção diz ao ssh para fornecer uma função de conversação mais completa do PAM, que abrange, entre outras coisas, fornecer saída e pedir entrada arbitrária (em vez de apenas ser entregue uma senha por sshd
).
Editar: você vai querer que PasswordAuthentication no
garanta que a entrada da senha sempre passe por essa conversa do PAM.