a proč nenapíšeš, co jsi zkoušel, co ti nefungovalo a proč. Máš tam nullok flag, ten způsobí, že pam_google_authenticator.so skončí jako success v momentě, kdy uživatel nemá soubor ${HOME}/.ssh/google_authenticator a tady máš chybu, pam.d soubory se nespouští pod kontextem uživatele, ale běží pod rootem, nemůžeš tam používat takhle proměnné (nezkoušeno, ale myslím si to). Osobně bych tam dal raději ~/.ssh/google_authenticator
Pokud to chceš zapnout pro všechny ostatní, vygeneruj všem uživatelům nějaký klíč, ať už správný nebo špatný, zároveň u uprav template home složky pro nové uživatele a také tam nechat nějaký náhodný klíč.
Raději tohle nastavení řeším o trochu dál na nějakém IDM/ldap serveru, mohu totiž dávat locky při bruteforce, tady to nelze snadno. Uživatele si pak klíče a hesla mohou spravovat sami přes rozhraní, nemusím jim to dělat nějak složitě přímo na serveru.