Google Authenticator kann schon eine nette Sache sein. Problem mit der derzeitigen Lösung ist nur, dass man über die Server eine ganze Menge Tokens zusammenbekommt. Pro Anwendung und Server einen. In meinem Fall glatte 20 Stück – Ungefähr 19 zuviel.

Die Lösung wäre entweder ein Radius-Server, der mir alle User lokal hält und via PAM authentifiziert, oder etwas ganz Anderes. Der Radius Server hatte sich in meinem Fall nicht sauber an mein LDAP Verzeichnis anbinden lassen – also war Weitersuchen angesagt.

Am Ende landete ich bei OpenOTP, welcher mir für >30 User kostenlos zur Verfügung steht und genug Möglichkeiten gibt, meine Infrastruktur anzubinden. Via OpenOTP hängen jetzt zB alle WordPress-Blogs auf diesem Server zentral mit einem Token und einem User zusammen.

Durch entsprechende PAM Module ließ sich auch der SSHd zur Zusammenarbeit überreden und am Ende habe ich hier nur noch zwei Token am Laufen und alles gegen den LDAP Server authentifiziert.