Infelizmente (não recompilando yppasswd e hard coding em seus requisitos), isso não pode ser feito como indicado. Eu diria que o daemon yppasswd deve estar desabilitado e nenhuma chamada ao yppasswd deve ser feita. Uma abordagem muito melhor é configurar sua pilha de pam para manipular chamadas nativas para passwd e empurrá-las pelos canais de autenticação apropriados. Alternativamente, você pode aliar globalmente o yppasswd para passwd -r nis (senha do homem para argumentos individuais).
Isso seria onde eu começaria.