pam_oath + yubikey: можете войти с yubikey, но не разблокировать lockscreen
Я использую pam_oath.so из пакета libpam_oath, чтобы использовать мой yubikey для входа. Он настроен как OATH-HOTP, и он работает нормально. Я могу войти с моей булавкой и нажать на мой юбикеи. Мне не нужно вводить мой user-pw при входе в мою учетную запись.
Но когда я блокирую экран и пытаюсь его разблокировать, я не могу использовать только один юбике. Мне всегда нужно вводить мой пароль. Даже не важно, вводю ли я правильный вывод, и я также могу отказаться от всей юбикой аутентификации (просто нажав enter), пока я ввожу свой правильный пароль пользователя, я могу разблокировать экран.
Это строка конфигурации, которую я использую в /etc/pam.d/common-auth:
auth sufficient pam_oath.so usersfile=/etc/users.oath window=20 digits=8
Я попытался ввести ту же строку в различных конфигурационных файлах в pam.d, например lightdm, lightdm -greeter, единство, но ничего не изменило поведения.
Может кто-нибудь объяснить мне, где моя ошибка, или какой должен быть правильный синтаксис, если я хочу иметь возможность разблокировать экран при использовании моего pin + yubikey.
Я не могу, потому что, если вы используете freeradius + yubikey и pin, вы можете разблокировать заблокированный экран с помощью pin + yubikey.
Любой намек на то, как искать ошибку также очень ценим!