Правим файл /etc/pam.d/su, строку:

auth            requisite       pam_group.so            no_warn group=wheel root_only fail_safe

приводи к виду (убираем root_only):

auth            requisite       pam_group.so            no_warn group=wheel fail_safe

И добавляем строку:

auth           sufficient      pam_permit.so

Получаем, что любой пользователь из группа wheel может делать su на любого пользователя без пароля.