pam_oath + yubikey: может войти в систему с помощью yubikey, но не разблокировать экран блокировки

Я использую pam_oath.so из пакета libpam_oath, чтобы использовать мой yubikey для входа в систему. Он настроен как OATH-HOTP и работает нормально. Я могу войти с моим пин-кодом и нажать на мой Yubikey. Мне не нужно вводить свой user-pw при входе в мою учетную запись.

Но когда я блокирую экран и пытаюсь разблокировать его, я не могу использовать только свой yubikey. Я всегда должен вводить свой пароль. Даже не имеет значения, если я введу правильный пин-код, я также могу отказаться от всей аутентификации yubikey (просто нажав Enter), пока я ввожу свой правильный пароль пользователя, я могу разблокировать экран.

Это строка конфигурации, которую я использую в /etc/pam.d/common-auth:

auth sufficient pam_oath.so usersfile=/etc/users.oath window=20 digits=8

Я пытался ввести одну и ту же строку в различные файлы конфигурации в pam.d, например, lightdm, lightdm-greeter, единство, но ничто не изменило поведение.

Может кто-нибудь объяснить мне, где моя ошибка, или какой должен быть правильный синтаксис, если я хочу иметь возможность разблокировать экран при использовании моего pin + yubikey.

Нет, это возможно, потому что если вы используете freeradius + yubikey и pin, вы можете разблокировать заблокированный экран с помощью pin + yubikey.

Любая подсказка, как охотиться за ошибкой, также очень ценится!