SSH登录第二因素的选择

Question

是否有可能有多个2 2FA的设置，并给用户在登录时使用的选择？

我有google-authenticator设置。我已经成功地使用了我的yubiko键作为第二个因素。我希望在登录时可以选择使用哪个，这样我就可以使用更方便的东西，或者使用它作为备份方法。

Answer 1

据我所知，没有任何标准/方法允许用户在登录期间从命令行提示符中选择要使用哪个MFA登录。(但您可以编写自己的PAM模块. #CurrentTeam这样做了，但没有将其发布到公共域。)

对于最终用户来说，这并不是最透明的，但是您可以使用股票工具来使用帕姆链配置回退方法。

将Yubico模块设置为sufficient，当您传递有效的一次性密码时，您将被授予访问权限。

当您输入的内容不能作为正确的Yubikey OTP进行验证时，身份验证将传递到下一个允许的方法，即模块。

应该将PAM模块设置为required。

如果您未能输入有效的Yubibey OTP，输入有效的Google身份验证代码，您将被授予访问权，否则您的身份验证将被拒绝。

这应该有点类似于添加以下内容：

auth sufficient pam_yubico.so id=16 debug authfile=/path/to/mapping/file
auth required pam_google_authenticator.so