Solución 1:
Probablemente podría manejar esto con el pam_listfile módulo. Crea un /etc/pam.d/sshd archivo que se parece a:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
Esto permitiría solo a las personas que figuran en /etc/authusers la capacidad de autenticarse con un módulo de dos factores (en nuestro caso, secureid). En realidad, no he probado esta configuración, pero la teoría es sólida.
Podría hacerlo más simple al permitir que cualquiera para autenticarse usando autenticación de dos factores; presumiblemente, solo aquellas personas con los dispositivos o la configuración adecuados podrían tener éxito, por lo que obtendría efectivamente el mismo comportamiento.
Solución 2:
Para deshabilitar la autenticación de dos factores para usuarios sin Google Authenticator configurado, agregue el nullok opción en /etc/pam.d/sshd :
auth required pam_google_authenticator.so nullok
Para obtener más detalles, consulte:https://github.com/google/google-authenticator-libpam#setting-up-a-user
Solución 3:
Usando la siguiente solución, el módulo PAM (autenticador de Google) se puede deshabilitar para usuarios específicos-
1) Cree un grupo de usuarios en la instancia de Linux. MFA/PAM se desactivará para los usuarios presentes en este nuevo grupo-
sudo groupadd <groupname>
2) Crear usuario o agregar un usuario existente al grupo recién creado-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Edite el archivo /etc/pam.d/sshd y agregue la siguiente declaración para omitir el módulo PAM para el grupo recién creado-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Opcional-
Si se requiere acceso completo para este nuevo grupo, agregue la siguiente línea al archivo visudo-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Cuando se cree un usuario y se agregue al nuevo grupo, se omitirá MFA para esos usuarios.
Referenciado desde -TechManyu Blog