네트워크에 일부 인증 유형에는 작동하지만 다른 유형에는 작동하지 않는 2FA 설정이 있습니다. 이것이 작동하는 현재 방식은 비밀번호에 대한 pam_ldap과 TOTP에 대한 pam_oath의 조합입니다. PAM은 로컬 로그인/잠금 해제에는 pam_ldap만 필요하고 SSH에는 pam_oath만 필요하며(이미 공개 키가 필요하므로) sudo 및 su에는 pam_oath만 필요하도록 구성됩니다.
이 설정의 문제점은 pam_oath를 /etc/users.oath
. LDAP 콘텐츠를 기반으로 이 파일을 주기적으로 다시 생성해야 합니다. 설상가상으로 이 파일에도 기록하는데 지금은 무시하고 있습니다.
OpenLDAP의 TOTP 모듈을 사용해 보고 싶습니다.슬라보-오텝. 이렇게 하면 파일을 동기화 상태로 유지해야 하는 문제가 해결되지만 경우에 따라 건너뛸 수 있는 옵션이 손실될 수 있습니다. 매번 화면 잠금을 해제하기 위해 그것을 사용할 필요는 없습니다. 사람들은 그냥 화면 잠금을 끄고 솔직히 저도 그렇게 합니다.
나에게 몇 가지 아이디어를 주세요.