Для аутентификации воспользуемся возможностью pam.d осуществлять аутентификацию при помощи сервера Radius, который в свою очередь через плагин работает с JAS.
Сервер JAS и NPS (Radius) MS Windows Server 2012 R2
1. Настраиваем конфигурацию JAS.
2. В Windows создаём пользователя с именем как у пользователя, который входит на рабочую станцию Linux. Выставляем ему Allow Dial-in.
3. Устанавливаем плагин JAS NPS Plugin.
4. Привязываем пользователю токен OTP.
5. Регистрируем рабочую станцию, как клиент Radius.
Рабочая станция Linux. OS Debian 8
1. Устанавливаем пакет libpam-radius-auth.
2. Изменяем /etc/pam.d/gdm-password. - Дефолтный менеджер Debian. Соответственно, это можно сделать в файлах kdm, lightdm, sddm и т.д.
Добавляем в начало строку:
auth sufficient /lib/security/pam_radius_auth.so
Для исключения других способов входа меняем ключ sufficient на required.
3. В /etc/pam_radius_auth.conf добавляем сервер Radius, его пароль и тайм-аут:
192.168.199.199 1234567890 3
4. Теперь при входе в систему вводим одноразовый пароль с токена или нажимаем на кнопочку JaCarta WebPass, и будет произведён вход в систему.