Você também precisa de ChallengeResponseAuthentication yes em /etc/ssh/sshd_config .
Para exibir o erro, pam precisa de uma função de conversa.
Esta opção diz ao ssh para fornecer uma função de conversação mais completa do PAM, que abrange, entre outras coisas, fornecer saída e pedir entrada arbitrária (em vez de apenas ser entregue uma senha por sshd ).
Editar: você vai querer que PasswordAuthentication no garanta que a entrada da senha sempre passe por essa conversa do PAM.