OpenVPN MFA sem usuários unix

1

Vocês têm uma ideia de como é possível configurar o OpenVPN com o pam_google_authenticator.so sem a necessidade de autenticar usando o nome de usuário / senha, mas somente o cert + TOTP? Eu não quero criar um novo usuário unix para cada novo cliente VPN.

Não consigo encontrar nenhum sinalizador na configuração do lado do cliente (arquivo ovpn) que possa ativá-lo ( link )

ATUALIZAÇÃO:

no lado do servidor eu tentei com:

/etc/openvpn/server.conf

auth-user-pass-optional
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn

/etc/pam.d/openvpn

auth required pam_google_authenticator.so

Mas ainda no log openvpn eu vejo:

PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-pam.so
TLS Auth Error: Auth Username/Password verification failed for peer
    
por YasiuMaster 08.05.2018 / 09:59

1 resposta

0

Se você puder apontar a autenticação secundária para um servidor RADIUS externo, há um servidor RADIUS projetado para a autenticação OTP.

disclaimer: Eu sou afiliado com totpradius

    
por 28.08.2018 / 15:40