Свяжите определенный сертификат с конкретным локальным пользователем с OpenVPN

Настроить:

OpenVPN 2.3 на сервере centos. Несколько клиентов (windows, osx, linux). Шифрование с использованием сертификатов PER устройства (easy-rsa) и добавленная аутентификация с использованием модуля openvpn-plugin-auth-pam.so (имя пользователя / пароль). Я также защищаю паролем личные ключи.

Проблема:

Любой, кто подключается к любому из действительных сертификатов, может аутентифицироваться ЛЮБОЙ из локальных пользователей. Проблема заключается в том, что некоторые клиенты могут в конечном итоге использовать очень слабый пароль, который уязвим для атак методом грубой силы. Я знаю, что могу просто ограничить дерьмо для пользователей клиента в качестве защиты от этого типа вторжения, однако я бы предпочел не ограничиваться этим

Что я хочу:

Я бы хотел, чтобы каждый локальный пользователь был связанный / связанный к конкретному сертификату. Таким образом, если учетные данные Боба будут скомпрометированы, а другой пользователь Алиса имеет очень слабый пароль, то злоумышленник, использующий учетные данные Боба, не сможет осуществить грубую силу через пользователя Алису.

Как это может быть сделано?

Я полностью понимаю, что это «параноидальная» безопасность, но я считаю, что это функция должна быть доступна. Конечно, если привязка сертификата к локальному пользователю НЕ является лучшим и наиболее эффективным способом, не стесняйтесь предлагать альтернативу, которая достигнет той же цели (т.е. держатель определенного сертификата может аутентифицироваться только против конкретного локального пользователя) .

Спасибо.