Назад | Перейти на главную страницу

OpenVPN MFA без пользователей unix

Есть ли у вас идеи, ребята, можно ли настроить OpenVPN с помощью pam_google_authenticator.so без необходимости аутентификации с использованием имени пользователя и пароля, а только с сертификатом + TOTP? Я не хочу создавать нового пользователя unix для каждого нового клиента VPN.

Я не могу найти флаг в конфигурации на стороне клиента (файл ovpn), который может его включить (https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html)

ОБНОВИТЬ:

на стороне сервера я пробовал:

/etc/openvpn/server.conf

auth-user-pass-optional
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn

/etc/pam.d/openvpn

auth required pam_google_authenticator.so

Но все же в журнале openvpn я вижу:

PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-pam.so
TLS Auth Error: Auth Username/Password verification failed for peer

Если вы можете указать вторичную аутентификацию на внешний сервер RADIUS, существует RADIUS сервер предназначен для аутентификации OTP.

отказ от ответственности: я связан с totpradius