Изменить порядок двухфакторной аутентификации

Я тестирую двухфакторную аутентификацию для ssh-входов в некоторые контейнеры CentOS в нашей тестовой среде.

Я скомпилировал свои собственные rpms из исходного кода github, установил и настроил все и настроил и запустил установку по умолчанию. Сначала мне будет предложено ввести токен и пароль пользователя.

То, что я пытаюсь сделать сейчас, - это изменение порядка двух факторов. У меня есть требование сначала запросить пароль и последний токен, но я не смог настроить это.

Это то, что /etc/pam.d/sshd выглядит после установки:

#%PAM-1.0
auth       required     pam_google_authenticator.so nullokt
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

Я попытался обойти параметры первого раздела без удачи. Например, если я переместу строку google_authenticator в конец раздела "firat", будет включена только аутентификация по паролю.

Редактировать:

Я прочитал документацию PAM, но не могу этого достичь. Я пытался связать google-authenticator с /etc/pam.d/password-auth, но ничего не изменилось. Это первый токен и второй пароль или только пароль.