Configurei meu servidor openvpn para autenticar clientes com usuário / senha (ldap) e OTP / 2FA (google authenticator). Funciona bem!
Eu tenho clientes osx que usam o Tunnelblick como cliente openvpn e ele não suporta OTP / 2FA. Então, eu precisaria usar a autenticação de chave privada / pública TLS para eles.
Posso fazer uma única instância openvpn para autenticar usuários com TLS quando o cliente envia um certificado e com o usuário / pass + OTP quando o cliente não envia um certificado?
O plano B é para configurar duas instâncias, mas, se possível, eu gostaria de evitar isso.