Você pode usar senhas de uma vez com um gerenciamento central.
Eu sei que isso não serve para "deve funcionar quando eth está offline e servidor acessado com o iLO".
De qualquer forma: a questão é, com que frequência o servidor está off-line.
Você pode pensar na seguinte configuração:
Use uma solução OTP gerenciada centralmente, como privacyidea ( link ).
Você pode atribuir vários tokens OTP diferentes ao usuário root. Cada token tem um PIN OTP diferente e é um dispositivo diferente.
Assim, todos os seus colegas podem fazer login como usuário root, mas no log de auditoria, você verá qual token é autenticado, para que você possa saber qual colega fez o login no momento.
Nos servidores, você precisa configurar o pam_radius para passar a solicitação de autenticação para o RADIUS e privacyIDEA.
Que pena. Agora seu servidor fica offline. Neste caso, você deve jogar com sua pilha de pam. Eu poderia pensar em algo como:
auth sufficient pam_unix.so
auth required pam_radius.so use_first_pass
Para que você possa fazer o login com uma senha fixa off-line e, caso contrário, a senha será entregue ao pam_radius e validada como OTP contra privacyIDEA.
Veja este link .