Linux TACACS+ авторизация для SSH, но позволяет пользователям использовать аутентификацию с открытым ключом

У нас запущена среда tacacs для централизованного входа в систему на наших маршрутизаторах, брандмауэрах и т. д. и даже на большинство наших Linux-коробок в ssh

то, что мы хотели бы сделать, это разрешить пользователям проходить аутентификацию в SSH через открытый ключ, а не вводить там пароль, но все же авторизоваться через tacacs, чтобы проверить, что вход действительно разрешен и доступ должен быть предоставлен, но если пользователь отключен в таках это должно быть отклонено

возможно ли это и как это будет достигнуто - мы используем RedHat/Centos с pam_tacplus

Вторичный вопрос: как вы позволите определенным системным учетным записям обходить аутентификацию tacacs, чтобы сценарии сервер-сервер могли работать через SSH и аутентификацию с открытым ключом без необходимости существовать в tacacs?