Можно ли настроить OpenSSH для вызова AuthorizedKeysCommand без регистрации соответствующего пользователя локально на хост-машине?
Если вы имеете в виду нелокального пользователя, да, это вполне возможно, freeIPA, например, может хранить открытые ключи пользователей в своем сервере LDAP:
ipa user-mod user –sshpubkey='ssh-rsa AAAA…'
и использует:
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandRunAs nobody
в /etc/ssh/sshd_config эффективно делегировать проверку авторизованных ключей sssd, который, в свою очередь, настроен для связи с сервером freeIPA.
Нет.
sshd не может аутентифицировать пользователей, которые не существуют, в соответствии с системой, в которой он работает. Пользователь должен существовать, хотя его не нужно определять локально.