Sim, isso deve ser possível com totpcgi e freeradius , embora tenhamos não fiz isso contra o AD, mas FreeIPA. Usamos essa configuração em nossos appliances Cisco VPN e os usuários autenticam com seu nome de usuário e senha + token (ou seja, o mesmo comportamento dos tokens RSA).
Eu adoraria ter mais informações sobre como funciona para outras pessoas, especialmente se alguém puder fornecer documentação sobre como substituir a infraestrutura RSA com totpcgi em um ambiente Linux-Windows heterogêneo. :) Nosso principal objetivo até agora foi implementá-lo para servidores Linux.