Solusi 1:
Anda mungkin bisa menangani ini dengan pam_listfile modul. Buat /etc/pam.d/sshd file yang terlihat seperti:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required pam_deny.so
Ini hanya akan mengizinkan orang yang terdaftar di /etc/authusers kemampuan untuk mengautentikasi dengan modul dua faktor (dalam kasus kami, secureid). Saya belum benar-benar menguji konfigurasi ini, tetapi teorinya masuk akal.
Anda dapat membuatnya lebih sederhana dengan mengizinkan siapa saja untuk mengotentikasi menggunakan otentikasi dua faktor; mungkin, hanya orang-orang dengan perangkat/konfigurasi yang sesuai yang dapat berhasil, sehingga Anda akan mendapatkan perilaku yang sama secara efektif.
Solusi 2:
Untuk menonaktifkan autentikasi dua faktor bagi pengguna tanpa Google Authenticator dikonfigurasi, tambahkan nullok opsi di /etc/pam.d/sshd :
auth required pam_google_authenticator.so nullok
Untuk detail selengkapnya, lihat:https://github.com/google/google-authenticator-libpam#setting-up-a-user
Solusi 3:
Menggunakan solusi di bawah ini, Modul PAM(google authenticator) dapat dinonaktifkan untuk pengguna tertentu-
1) Buat grup pengguna di instance Linux. MFA/PAM akan dinonaktifkan untuk pengguna yang ada di grup baru ini-
sudo groupadd <groupname>
2) Buat Pengguna atau tambahkan pengguna yang ada ke grup yang baru dibuat-
sudo useradd <username>
sudo usermod -a -G <groupname> <username>
3) Edit file /etc/pam.d/sshd dan tambahkan pernyataan di bawah ini untuk melewati modul PAM untuk grup yang baru dibuat-
auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>
Opsional-
Jika akses penuh diperlukan untuk grup baru ini, tambahkan baris di bawah ini ke file visudo-
%<groupname>ALL=(ALL) NOPASSWD: ALL
Saat pengguna akan dibuat dan ditambahkan ke grup baru, MFA akan dilewati untuk pengguna tersebut.
Dirujuk dari -TechManyu Blog