Não funcionará para sessões que não sejam de login, mas sempre usei a abordagem de modificar o .bash{rc,profile} do usuário. Caso contrário, você pode fazer o oposto: definir umask para 0777 com pam e, em seguida, alterá-la ainda mais para sessões de login no global bashrc .
Dito isto, um umask de 0777 é alarmante. Você percebe que isso significa que seus usuários criarão arquivos com um modo de 0000 - ou seja, sem acesso para qualquer pessoa - certo?