Ok problema resolvido (em teoria). Na verdade, existem duas opções: Implementar sua própria autenticação de dois fatores usando GSS-API [1] ou usando os plugins magníficos AuthHub e AuthHub-TOTP [2].
[1] link
[2] link
Alguém sabe como posso usar o google-authenticator em combinação com o kerberos e, assim, fornecer aos meus usuários autenticação de dois fatores?