Ну по сути делается так:
Либо вы настраиваете pam.d для работы с централизированным юзер менеджментом (ldap/ AD)
Либо настраиваете ssh через велосипед, в котором конфигурируете сервер на работу с ключами только, например, из /etc/ssh/users/$user/keys, и ключи туда раскладываете сами - руками или любым оркестратором.
Мониторить конфиги sshd серверов и ключей, чтобы их никто не менял, и в принципе все.
Также данную задачу можно решить не совсем велосипедом а поискать готовые решения. Из платных знаю по tectia sshd сервер, он еще и логирование централизовано сделает. Но уверен что есть и другие.
Первый вариант хорош, если у вас уже есть какой-то AD или LDAP в организации, к которому можно просто интегрироваться.
