O cliente de login não permitirá isso - também o PAM não fará isso, já que o PAM espera apenas uma senha.
O que você faria é
A) insira a senha e OTP como uma "senha" + "OTP" ou
B) primeiro digite "senha" e depois OTP.
Se você quiser validar a senha contra o seu pam_unix, isso não funcionará dessa maneira, já que você não pode dividir a senha dentro do PAM.
Então você pode fazer a versão B):
Então você definiria algo como:
auth requried pam_unix.so
auth required pam_OTP.so
Em seguida, o PAM pedirá seu nome de usuário, em seguida, para a sua senha unix e se é correto irá pedir-lhe o seu OTP. (Se você estiver usando algo como pam_otpw.)
Uma vez que eu verifiquei, o gdm NÃO exibiu as duas telas de login uma após a outra, então você precisa verificar com o seu aplicativo.
Mas você também pode usar um back-end OTP que suporte autenticação como em A). privacyIDEA permite autenticar exatamente assim, você irá configurar o pam_radius e depois autenticar com "senha" + "OTP". Para o PAM é apenas um pedido de autenticação e uma senha para manipular, o privacyIDEA irá dividi-lo no backend.