특정 상황에서만 LDAP 기반 TOTP가 필요하도록 만드는 가장 좋은 방법은 무엇입니까?

특정 상황에서만 LDAP 기반 TOTP가 필요하도록 만드는 가장 좋은 방법은 무엇입니까?

네트워크에 일부 인증 유형에는 작동하지만 다른 유형에는 작동하지 않는 2FA 설정이 있습니다. 이것이 작동하는 현재 방식은 비밀번호에 대한 pam_ldap과 TOTP에 대한 pam_oath의 조합입니다. PAM은 로컬 로그인/잠금 해제에는 pam_ldap만 필요하고 SSH에는 pam_oath만 필요하며(이미 공개 키가 필요하므로) sudo 및 su에는 pam_oath만 필요하도록 구성됩니다.

이 설정의 문제점은 pam_oath를 /etc/users.oath. LDAP 콘텐츠를 기반으로 이 파일을 주기적으로 다시 생성해야 합니다. 설상가상으로 이 파일에도 기록하는데 지금은 무시하고 있습니다.

OpenLDAP의 TOTP 모듈을 사용해 보고 싶습니다.슬라보-오텝. 이렇게 하면 파일을 동기화 상태로 유지해야 하는 문제가 해결되지만 경우에 따라 건너뛸 수 있는 옵션이 손실될 수 있습니다. 매번 화면 잠금을 해제하기 위해 그것을 사용할 필요는 없습니다. 사람들은 그냥 화면 잠금을 끄고 솔직히 저도 그렇게 합니다.

나에게 몇 가지 아이디어를 주세요.

관련 정보