{Ключ или TOTP} и пароль

Я настраиваю многофакторную аутентификацию на коробке Linux. Я успешно смог указать коробке принять ключ и пароль или TOTP и пароль, но я бы хотел, чтобы клиенты могли делать то же самое. Я неукоснительно следовал этому руководству, но столкнулся с проблемой, заключающейся в том, что, поскольку PAM обрабатывает и пароль, и TOTP, я не могу просто сказать ssh, что нужно использовать PAM для одного типа аутентификации, а сам другой. Единственный способ, которым я могу придумать, - это создать, например, две "цепочки"(?) /etc/pam.d/sshd-password а также /etc/pam.d/sshd-totp и SSH пройти один для пароля и другой для TotP. Существует ли такой механизм? Если нет, есть ли другой способ сделать это?