Tacacs +使用PAM双因素Google身份validation？

我正在为我的校园networking开发tacacs +服务器，我一直在想如何设置一个tacacs +服务器来与PAM进行双向身份validation。 我做了相当多的search，发现了一些有用的信息，但是我没有find一个清晰的“路线图”，很多步骤似乎模糊不清。 我现在有一个Ubuntu tacacs +testing平台，没有configuration交换机或路由器。

有没有人做过这样的事情？ 我在redhat电子邮件链中find了一个比较好的指南： https ： //www.redhat.com/archives/pam-list/2014-March/msg00008.html

我不知道下一步该怎么走，或者这个系统如何工作。 有没有我可以遵循的例子或者一些build议？ 我感觉有点像我现在处于试错模式。

编辑：具体来说，我现在正盯着/etc/pam.d/(tac_plus？示例PAMconfiguration文件，无论它叫什么），我不确定究竟需要去那里。 这是Google的身份validation器或tacacs +的东西？ 我的例子看起来像下面发布的代码，但我不知道这里是什么：

• 当使用“pam_krb5.so try_first_pass”时，klist不返回票据
• 将Samba 4.4密码与Unix密码数据库同步
• 是否存在允许交互的ssh服务器插件？
• pure-ftpdvalidation失败
• PAM cracklib与login.defs

auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 session optional pam_ldap.so 

还有一个configurationtacacs看起来非常简单，但像其他一切，我以前从来没有见过，所以我不太确定。 它看起来像这样：

 # admin group group = admins { default service = permit login = PAM service = exec { priv-lvl = 15 } } 

 auth requisite pam_google_authenticator.so forward_pass auth required pam_unix.so use_first_pass