Você pode usar o módulo pam_succeed_if em sua pilha para fornecer exceções para alguns usuários. Verifique a% man_de% manpage para uma explicação detalhada da sintaxe. Um exemplo seria:
auth [success=1 default=ignore] pam_succeed_if.so gid eq 2000
auth required pam_tally2.so deny=5 onerr=fail unlock_time=1200
Isso significa que, se o teste pam_succeed_if(8) retornar com êxito, ou seja, para todos os usuários no grupo cujo GID for 2000, pule o teste a seguir ( pam_succeed_if ); se o teste retornar falha, ignore-o e continue.
Vários testes pam_tally2 podem ser empilhados para um controle refinado.