Estou usando o pam_oath.so do pacote libpam_oath para usar meu yubikey para efetuar login. Está configurado como OATH-HOTP e está funcionando bem. Eu posso fazer o login com o meu pin e pressionar o meu yubikey. Eu não preciso digitar meu user-pw quando fizer login na minha conta.
Mas quando eu bloqueio a tela e tento desbloqueá-la, não consigo usar meu yubikey sozinho. Eu sempre tenho que digitar minha senha. Não importa se eu inserir o pino correto e também posso descartar toda a autenticação do yubikey (apenas pressionando enter), desde que eu digite minha senha de usuário correta, eu posso desbloquear a tela.
Esta é a linha de configuração que eu uso em /etc/pam.d/common-auth:
auth sufficient pam_oath.so usersfile=/etc/users.oath window=20 digits=8
Eu tentei entrar na mesma linha em vários arquivos de configuração em pam.d, por exemplo lightdm, lightdm-greeter, unidade mas nada mudou o comportamento.
Alguém pode me explicar onde está o meu erro, ou qual deve ser a sintaxe correta se eu quiser ser capaz de desbloquear a tela ao usar meu pin + yubikey?
Eu não, é possível, porque se você usa freeradius + yubikey e pin, você é capaz de desbloquear sua tela bloqueada com o pin + yubikey.
Qualquer dica de como caçar o erro também é muito apreciado!