SSH/port 22 выставляется Интернету, или в системе, подключенной к сервису LDAP? С 10,4 это было хорошим путем к DOS, потому что ответ на все недопустимые попытки входа в систему, подходящие, замедлит систему к проверке. Я никогда не знал, почему это замедлит вещи так, но это сделало и я не мог ни к чему об этом.
Я никогда не пробовал это 10,5 или 10.6, таким образом, это не могло бы применяться здесь.
На самом деле вы хотите выбрать правильный протокол аутентификации, который поддерживается PAM, службы, которые вы хотите защитить, и максимальное количество серверов двухфакторной аутентификации.
Радиус - это ответ .
Все основные системы двухфакторной аутентификации поддерживают радиус. Радиус поддерживается в PAM через плагин pam-radius. Radius также позволит вам проксировать запросы через freeradius (или NPS в AD), который затем может выполнять авторизацию для вашего каталога. (Это означает, что у вас есть одно место для отключения пользователей.)
У нас есть несколько руководств, которые должны помочь: пара на pam-radius: https://www.wikidsystems.com/support/wikid-support -center / how-to / pam-radius-how-to и https: //www.wikidsystems. https://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-configure-webmail-for-wikid-strong-authentication
Клиентам электронной почты будет предложено ввести OTP каждый раз при запуске или для каждого сеанса.
Pam-tacacs и pam-ldap были бы другими вариантами, но более сложными и менее гибкими, IMO.
Google Authenticator имеет модуль PAM. Инструкции для него здесь . Не знаю, как это будет работать с почтой.