ネットワークには、一部の認証タイプでは機能しますが、他のタイプでは機能しない2FA設定があります。これが動作する現在の方法は、パスワードのpam_ldapとTOTPのpam_oathの組み合わせです。 PAM は、ローカルログイン/ロック解除には pam_ldap だけが必要で、SSH には pam_oath だけが必要 (すでに公開鍵が必要なため)、sudo と su には pam_oath だけを必要とするように構成されます。
この設定の問題は pam_oath を/etc/users.oath。 LDAP コンテンツに基づいてこのファイルを定期的に再生成する必要があります。雪上でこのファイルにも記録するのに今は無視しています。
OpenLDAPのTOTPモジュールを試してみたいです。スラボ - オテップ。これにより、ファイルを同期したままにする必要がある問題が解決されますが、場合によってはスキップできるオプションが失われる可能性があります。毎回画面のロックを解除するためにそれを使用する必要はありません。人々はただ画面ロックをオフにし、正直私もそうします。
私にいくつかのアイデアを与えてください。