MFAなしでログインするときにユーザーが「google-authenticator」を使用するように強制/案内する方法は?

MFAなしでログインするときにユーザーが「google-authenticator」を使用するように強制/案内する方法は?

環境: Amazon Linux 2 (centos 7 カスタム)


最近Google Authenticatorをsshdに接続しましたが、すべてのユーザーがそれを使用したいと思います。


現状

ユーザーは最初に提供した秘密鍵を使用してMFAなしでログインできますが、MFAが設定された後はそれを使用する必要があります。

/etc/pam.d/sshd

#%PAM-1.0
auth       required     pam_google_authenticator.so nullok secret=${HOME}/.ssh/google_authenticator
auth       required     pam_permit.so

/etc/ssh/sshd_config

UsePAM yes
PasswordAuthentication no
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive:pam

私の目標

MFAログインなしですべてのユーザーを体系的に強制/起動して設定したいです。どうすれば体系的にできますか?

関連情報