Estou tentando fazer a transição inevitável para a autenticação de fator duplo o mais simples possível para administradores e desenvolvedores. Um obstáculo é a necessidade de inserir o segundo fator cada vez que o cliente abre uma sessão. Existe uma maneira de obter autenticação de fator duplo para ssh em que o segundo fator só precisa ser inserido uma vez por dia ou algum outro período de tempo razoavelmente longo?
A ideia é configurar hosts de salto para ssh que exigem 2FA. Um host de salto pode ser usado para fornecer acesso a outros servidores (ssh -J JumpHost TargetHost) que, por sua vez, serão restritos a apenas aceitar conexões dos hosts de salto.
Idealmente para o meu ambiente, o primeiro login no host de salto exigiria uma chave pública, senha ou Kerberos TGT mais o segundo fator. Logons subsequentes no mesmo servidor no período de tempo especificado exigiriam apenas o primeiro fator.
Até agora, eu verifiquei Duo e Okta. O Duo ainda não me respondeu sobre a persistência e não é óbvio na documentação deles que isso pode ser feito. Okta pode fazer isso, mas descobri uma maneira de seqüestrar credenciais de um usuário para outro - mesmo em máquinas clientes - por isso é uma opção menos atraente.