Soluzione 1:
Probabilmente potresti gestirlo con pam_listfile modulo. Crea un /etc/pam.d/sshd file che assomiglia a:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
Ciò consentirebbe solo alle persone elencate in /etc/authusers la possibilità di autenticarsi con un modulo a due fattori (nel nostro caso, secureid). In realtà non ho testato questa configurazione, ma la teoria è valida.
Potresti renderlo più semplice consentendo a chiunque autenticare utilizzando l'autenticazione a due fattori; presumibilmente, solo le persone con i dispositivi/la configurazione appropriati sarebbero in grado di avere successo, quindi otterresti effettivamente lo stesso comportamento.
Soluzione 2:
Per disabilitare l'autenticazione a due fattori per gli utenti senza Google Authenticator configurato, aggiungi il nullok opzione in /etc/pam.d/sshd :
auth required pam_google_authenticator.so nullok
Per maggiori dettagli vedi:https://github.com/google/google-authenticator-libpam#setting-up-a-user
Soluzione 3:
Utilizzando la soluzione seguente, il modulo PAM (google authenticator) può essere disabilitato per utenti specifici-
1) Creare un gruppo di utenti sull'istanza Linux. MFA/PAM sarà disabilitato per gli utenti presenti in questo nuovo gruppo-
sudo groupadd <groupname>
2) Crea un utente o aggiungi un utente esistente al gruppo appena creato-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Modifica il file /etc/pam.d/sshd e aggiungi l'istruzione seguente per saltare il modulo PAM per il gruppo appena creato-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Facoltativo-
Se è richiesto l'accesso completo per questo nuovo gruppo, aggiungi la riga sottostante al file visudo-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Quando un utente verrà creato e aggiunto al nuovo gruppo, l'autenticazione a più fattori verrà saltata per quegli utenti.
Citato dal blog -TechManyu