Ich habe mich nun nochmals mit Zwei-Faktor Authentifikation für Apache beschäftigt. Zur Klarstellung: das hat nichts mit der Zwei-Stufen Authentifizierung und .htaccess zu tun! Alle Quellen, die ich zum Thema mod_authn_google gefunden habe, haben nicht funktioniert. Und alles was ich dazu gelesen habe, hat mich entmutigt.

Scheinbar funktioniert da gar nichts und auf Frickellösungen hatte ich bereits nach 45 Minuten keine Lust mehr.

Ich würde den Umweg über die PAM-Authentifizierung gehen, da habe ich immerhin schon beliebig komplizierte Setups zur Mitarbeit bewegen können. Leider scheint das PAM-Modul für den Apachen mit solchen Dingen wie zwei Authentifizierungsmodulen hintereinander nicht klarzukommen. Es existieren auch noch andere Fallstricke: Zum Beispiel funktioniert mOTP nicht alleine, weil der Apache nicht weiß, welcher Nutzer sich anmeldet, wenn eine vorhergehende Authentifizierung diese Information noch nicht im Context hinterlassen hat (Vermutung!!!).

Daraus geht hervor, dass ich mich mit dem PAM-Apache-Modul mal quelltextmäßig beschäftigen werde - aber sicher erst, wenns kühler geworden ist, also wahrscheinlich im Spätherbst oder Winter!