Se você puder apontar a autenticação secundária para um servidor RADIUS externo, há um servidor RADIUS projetado para a autenticação OTP.
disclaimer: Eu sou afiliado com totpradius
Vocês têm uma ideia de como é possível configurar o OpenVPN com o pam_google_authenticator.so sem a necessidade de autenticar usando o nome de usuário / senha, mas somente o cert + TOTP? Eu não quero criar um novo usuário unix para cada novo cliente VPN.
Não consigo encontrar nenhum sinalizador na configuração do lado do cliente (arquivo ovpn) que possa ativá-lo ( link )
ATUALIZAÇÃO:
no lado do servidor eu tentei com:
/etc/openvpn/server.conf
auth-user-pass-optional
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
/etc/pam.d/openvpn
auth required pam_google_authenticator.so
Mas ainda no log openvpn eu vejo:
PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-pam.so
TLS Auth Error: Auth Username/Password verification failed for peer
Se você puder apontar a autenticação secundária para um servidor RADIUS externo, há um servidor RADIUS projetado para a autenticação OTP.
disclaimer: Eu sou afiliado com totpradius