...

Для PAM существует проект pam_p11, развивающийся как часть OpenSC, позволяющий внедрить аутентификацию по токенам. В старых версиях (ниже 0.2.0) модуль аутентификации разделен  разделен на два:

1. pam_p11_openssh: позволяет аутентифицировать пользователя по открытым ключам ssh в ~/.ssh/authorized_keys
2. pam_p11_opensc: аутентификация по сертификатам из файла ~/.eid/authorized_certificates

...

1. Сгенерировать на токене ключевую пару RSA (проверено, что работает для длины ключа 2048 бит, с 1024 были проблемы)
   
2. Если требуется сертификат, то с помощью OpenSSL или другого ПО сгенерировать сертификат и записать его на токен
3. Записать открытый ключ или сертификат в необходимый каталог
   

...

sudo apt-get install pcscd opensc openssl libpam-p11 libengine-pkcs11-openssl

...

Общий порядок действий

Настройка pam_p11

...