Já experimentou o controle PAM sufficient
? Por pam.conf(5)
sufficient
if such a module succeeds and no prior required module has failed
the PAM framework returns success to the application or to the
superior PAM stack immediately without calling any further modules
in the stack. A failure of a sufficient module is ignored and
processing of the PAM module stack continues unaffected.
Isso deve interromper o processamento na sua linha personalizada:
auth sufficient pam_exec.so expose_authtok /usr/bin/custom-pam.sh
a menos que falhe, o que poderia ser tratado por uma linha subseqüente de não negar-você-aqui-aqui.