Sono riuscito a far funzionare il tutto abilitando il comando sudo per l'utente apache.
In questo modo eseguo l'ssh come root e non ho più bisogno di creare autenticazioni anche per l'utente apache (come hai spiegato nella seconda parte del tuo messaggio).

L'unico dubbio che ho adesso è questo: quanto è rischioso permettere al webserver di effettuare un sudo senza richiedere la password? Hai un consigio da darmi per rendere meno rischiosa questa pratica?