Não se parece com o módulo pam (supondo que você quer dizer o módulo "google authenticator" que eles introduzem para autenticação de dois fatores) tem alguma opção para suportar isso nativamente, então você provavelmente terá que navegar com os sinalizadores de controle de pilha pam .
Uma possibilidade seria:
- Ter o pam_access na pilha configurado como "suficiente" (para que o sucesso impeça que o PAM seja executado posteriormente, mas a falha não)
- Configure o pam_access para sempre retornar o sucesso para os usuários da rede local
- Coloque o módulo google authenticator após a linha pam_access.
O efeito líquido deve ser (eu não testei) que a execução do módulo google authenticator está condicionada ao pam_access dizendo que eles não são locais (ou seja, falhando). Deve funcionar, pois a página man do pam_access diz que o recurso "auth" é fornecido no módulo.
Deixe-me saber os resultados.