Eu fiz algum erro e teste e a solução para mim parece ser assim:
# auth
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
auth requisite pam_group.so no_warn group=wheel root_only fail_safe ruser
auth sufficient pam_group.so no_warn group=wheel root_only fail_safe ruser
auth include system
# account
account include system
# session
session required pam_permit.so
Isso permite que os membros do grupo wheel suem sem senha, mas não permite membros que não sejam membros. (Eu acho que as duas linhas podem ser consolidadas em uma, mas eu não me incomodei tanto assim.)