UbuntuFreunde

Grüße allerseits!
Ich habe folgende Frage:
Ich habe einen Server mit 3 Benutzern welche auch über SSH darauf zugreifen dürfen. USER1 und USER2 sollen sich auch ohne RSA-KEY einloggen dürfen.
USER3 soll dazu gezwungen werden einen gültigen RSA-key zu haben, wenn nicht vorhanden gibt es kein login.
Ich habe nur einen Weg gefunden den Benutzer root extra zu definieren, nicht jedoch die anderen. Die konplette Autentifizierung auf RSA umzustellen kommt jedoch nicht in Frage.
Wie kann ich das Problem lösen?

Hintergrund:
Mit authorized_keys kann ich einschränken welche ports geforwarded werden dürfen. Wenn einer nun das Keyfile weg wirft, wird er zur normalen Passwortabfrage weitergeleitet. Ganz schlecht. Ich habe zwar die shell auf /bin/false gesetzt, aber ein Portforwarding funktioniert trotzdem.
USER1 und USER2 wiederum sollen auch ohne Keyfile zugreifen dürfen, das hat organisatorische Gründe.

Danke für eure Vorschläge!