Как добавить двухфакторную аутентификацию в ssh?

Я пытаюсь добавить 2FA в sshd, используя PAM из пакета oathtool. Я хочу два способа входа на сервер:

• publickey и 2FA, или
• пароль и 2FA

До сих пор мне удалось добавить 2FA к аутентификации publickey, но я не знаю, как соединить пароль с 2FA.

Мой sshd_config (OpenSSH_6.6p1, OpenSSL 1.0.1g 7 апреля 2014 г.):

AuthenticationMethods publickey,keyboard-interactive:pam password,keyboard-interactive:pam
ChallengeResponseAuthentication yes
PasswordAuthentication yes
UsePAM yes

PAM sshd:

auth required pam_oath.so usersfile=/etc/users.oath window=30

Но этот конфиг не имеет смысла: когда я пытаюсь войти, используя пароль + 2FA, я дважды спрашивал F2A (один раз как пароль, второй как OATH.