SSH 2-Faktor Authentifizierung funktioniert nicht richtig

Hallo,

ich versuche gerade bei der SSH-Anmeldung eine 2-Faktorauthentifizierung unter openSUSE Leap 15.2 zu implementieren: Ich möchte, dass bei einer Verbindung per SSH die Abfrage der Anmeldedaten folgendermaßen aussieht:

ssh user@hostname
$Password: 
$Verification Code: 

Es soll eine Passwort-Authentifizierung sein, weil sich AD-Benutzer anmelden können sollen, die ihr Passwort alle 180 Tagen erneuern müssen. Damit ein Zugriff per SSHFS funktioniert, muss die Reihenfolge Passwort-2FA Token sein. Leider funktioniert das aber nicht, sobald auth include common-auth vor dem Google-Authenticator in /etc/pam.d/sshd steht, wird dieser übersprungen. Die Anmeldung mit AD-User & Passwort, sowie der Google-Auth funktioniert an sich, aber nur in falscher Reihenfolge. auth required pam_unix.so kann ich nicht verwenden, da hier die Daten aus /etc/passwd und /etc/shadow abgefragt werden, es aber nicht gewünscht ist, dass AD-Passwörter auf dem System gespeichert werden. Zur Zeit bleibt mir nur eine eher unschöne Lösung, bei der Passwort und Token in einer Zeile eingegeben werden müssen:

auth     required       pam_google_authenticator.so forward_pass [authtok_prompt=Passwort und 2FA Token: ]
auth     requisite      pam_nologin.so
auth     include        common-auth use_first_pass
auth     include        password-auth
#auth    required       pam_google_authenticator.so
account  requisite      pam_nologin.so
account  include        common-account
password include        common-password
session  required       pam_loginuid.so
session  include        common-session
session  optional       pam_lastlog.so   silent noupdate showfailed

An der /etc/ssh/sshd_config habe ich folgende Änderungen vorgenommen:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods keyboard-interactive

Vielleicht hat jemand noch einen Tipp oder einen Lösungsvorschlag, wie ich das Problem lösen kann.

Danke für alle Antworten im Vorraus

Erstmal danke für die Antwort :), zu deinen Fragen:

Zitat von Berichtigung

Aus welchem File ist dein PAM Ausschnitt?

Und wie guckt dein Auth- Stack das AD-User Spasswort nach?

zu 1. aus /etc/pam.d/sshd

zu 2.in /etc/pam.d/common-account und /etc/pam.d/common-auth

/etc/pam.d/common-auth:

auth    required        pam_env.so
auth    optional        pam_gnome_keyring.so
auth    sufficient      pam_unix.so     try_first_pass
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so

/etc/pam.d/common-account:

account    sufficient     pam_unix.so
account    required       pam_ldap.so  ignore_unknown_user ignore_authinfo_unavail

/etc/pam.d/common-password:

password        requisite       pam_cracklib.so
password        optional        pam_gnome_keyring.so    use_authtok
password        [default=ignore success=1]      pam_succeed_if.so       uid > 999 quiet
password        sufficient      pam_unix.so     use_authtok nullok shadow try_first_pass
password        sufficient      pam_krb5.so
password        required        pam_deny.so