Есть ли у вас идеи, ребята, можно ли настроить OpenVPN с помощью pam_google_authenticator.so без необходимости аутентификации с использованием имени пользователя и пароля, а только с сертификатом + TOTP? Я не хочу создавать нового пользователя unix для каждого нового клиента VPN.
Я не могу найти флаг в конфигурации на стороне клиента (файл ovpn), который может его включить (https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html)
ОБНОВИТЬ:
на стороне сервера я пробовал:
/etc/openvpn/server.conf
auth-user-pass-optional
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
/etc/pam.d/openvpn
auth required pam_google_authenticator.so
Но все же в журнале openvpn я вижу:
PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-pam.so
TLS Auth Error: Auth Username/Password verification failed for peer
Если вы можете указать вторичную аутентификацию на внешний сервер RADIUS, существует RADIUS сервер предназначен для аутентификации OTP.
отказ от ответственности: я связан с totpradius