Eu usei uma configuração do OpenVPN que tinha uma fase de nome de usuário / senha para autenticar o usuário real, e isso era contra o PAM. Infelizmente, eu não tenho os arquivos de configuração daquela instalação, mas qualquer coisa que seja back-end contra o PAM pode tirar proveito de qualquer módulo PAM, e os módulos PAM têm todo tipo de suporte único - e melhor.
Para senhas únicas diretas, this chap escreve sobre o uso do OPIE no PAM, OPIE sendo (como o S / KEY) uma das antigas soluções de OTP (senha única) de tempos atrás (digressing ligeiramente, eu me lembro de imprimir um folha de 20 senhas OPIE para decolar em uma conferência em 1995, e tenho certeza que outros terão memórias ainda mais antigas sobre isso). Pode ser antigo, mas ainda é sólido, e agora há vários geradores de software OPIE que você poderia usar se não gostasse de carregar o pedaço de papel. O artigo acima faz referência a um aplicativo para iPhone, mas tenho certeza de que há outros.
No entanto, por que parar aí? Uma vez que você tenha o PAM conectado ao mecanismo de autenticação, pode ficar bastante barroco - e cada vez mais seguro.
Este sujeito tem um Módulo PAM que envia um token via SMS que deve ser inserido, para que você possa usar seu telefone GSM como parte de uma solução de dois fatores.
Eu mesmo usei um Yubikey , que é um pequeno gerador OTP com interface USB, com PAM, então você poderia ir até uma solução de hardware dedicada se quisesse (todo o código é GPL). Eu o uso para controlar o acesso ao ssh e ao sudo, mas como isso é feito via PAM, ele poderia ser facilmente conectado à fase de autenticação do usuário do OpenVPN.
Espero que esclarece que isso é definitivamente possível em teoria, e dá-lhe algumas ideias. Sinto muito por não ter uma configuração de OpenVPN + PAM em funcionamento para anexar, mas este artigo do openvpn.net parece abordá-lo com algum detalhe.