Gracias por la mención, Tate. Esta es una gran pregunta. Lo interpreto como "cómo puedo comenzar a avanzar hacia formas más sólidas de autenticación". Hay muchas partes en esta pregunta y algunas buenas respuestas, algunas ... aún esperando mejores respuestas.
Algunos antecedentes:
Protocolos: Radio, LDAP, SAML, OATH. Radius es ideal para uso interno (ldap es más un protocolo de directorio que una autenticación, OMI) y los dos últimos están diseñados para la autenticación externa / de Internet. Elija un protocolo interno y luego un método externo. Limitarte de esta manera lo mantienes limpio y te ayuda a aprender.
Primero, ubuntu: eso es fácil. solo necesita aprender un poco sobre PAM, el módulo de autenticación conectable. PAM soporta un montón de protocolos. Cree la biblioteca para su protocolo y luego edite los archivos de servicios en /etc/pam.d/. Entonces, sshd, login, su, sudo, lo que sea. Aquí hay un documento sobre cómo agregar autenticación de dos factores a SSH: enlace . Solo haz lo mismo para iniciar sesión, y deberías ser bueno. Una advertencia: ¡deja una manera de entrar! Usted no quiere ser bloqueado. Esta es una de las razones por las que la mayoría de las empresas solo se preocupan por el acceso remoto y no por el acceso local.
Inicio de sesión de Windows: Esto significa cambiar el inicio de sesión de Windows o GINA. Haz esto bajo tu propio riesgo también. Echa un vistazo al proyecto opensource pgina. Probé esto con WiKID usando el radio en Windows XP hace mucho tiempo y funcionó muy bien. Pero ninguno de nuestros clientes implementó esto debido al riesgo de bloqueo y los posibles costos de soporte.
Sitios web: cada vez más empresas están separando "credenciales de inicio de sesión" de "cuentas" y observan que pueden obtener más de lo último si dejan que alguien más se encargue de lo primero. ¡Hurra! Sin embargo, no todas las partes autenticadoras están haciendo autenticación de dos factores. Google es el único. Sin embargo, es posible que no se sienta cómodo con Google sabiendo cada uno de sus inicios de sesión y que desee un servidor que pueda controlar y utilizar para otros servicios también.
Si es así, nuestra versión de código abierto incluye un complemento para GoogleSSO para Google Domains: enlace .
¡Buena suerte! HTH,