Ben concrètement :
Soit une machine Alpha sur laquelle on ne peut se connecter en ssh qu'avec le compte toto.
Toto ne peut faire qu'une chose, c'est faire su -l baka
Baka ne peut faire qu'une chose : lancer un client ssh (par contre, il peut le faire vers n'importe quelle machine de notre DMZ).

Donc pour arriver en ssh à une machine de la DMZ, il faut : craquer le mot de passe de toto sur la machine Alpha (sachant qu'au bout de trois échecs en ssh, t'es bon pour une heure d'attente). Une fois sur cette machine, il ne peut faire qu'une chose : changer d'usager, donc il faut qu'il craque aussi le compte baka. Admettons.
Une fois qu'il est baka, il ne peut faire qu'une chose, c'est du ssh. Il faut qu'il craque le mot de passe du compte autorisé pour chaque machine qu'il veut atteindre (l'équivalent du toto pour le "répartiteur SSH"). Et une fois sur ces machines, il faut encore qu'il arrive à faire un su -l pour prendre la main avec un utilisateur qui a des pouvoirs.

Bien sûr, c'est moins sécuritaire qu'un fichier de clé, mais c'est aussi largement plus souple (t'es en famille dans le Morbilhan sans avoir pris tes trucs du boulot, il arrive une merde, tu peux te connecter).