Você precisa usar um plug-in. Existe um plugin auth-ldap, e também um plugin auth-pam (eu usei apenas o último). As opções de configuração relevantes são:
plugin /usr/lib/openvpn/openvpn-plugin-auth-ldap.so <config-file>
username-as-common-name # These two allow authentication
client-cert-not-required # without a client certificate, if you want
duplicate-cn # Allow the same client cert or same user/password to connect multiple times
Isso é muito bonito!