Это может быть полезно для тех, кто использует VPN в интернет-кафе, где кто-то мог установить регистратор ключей. Таким образом, даже если они записали пароль, в следующий раз он не сработает.
Я использовал настройку OpenVPN, в которой была фаза имени пользователя / пароля для аутентификации фактического пользователя, и она завершила это против PAM. К сожалению, у меня нет файлов конфигурации из этой установки, но все, что связано с PAM, может использовать преимущества любого модуля PAM, а модули PAM имеют всевозможную разовую поддержку - и лучше.
Для простых одноразовых паролей, этот парень пишет об использовании OPIE под PAM, OPIE является (как и S / KEY) одним из старых решений OTP (одноразовый пароль) с давних времен (немного отвлекаясь, я могу вспомнить, как распечатал лист из 20 паролей OPIE для взлета в конференции в 1995 году, и я уверен, что другие вспомнят о ней даже раньше). Он может быть старым, но все еще надежным, и теперь существует любое количество программных генераторов OPIE, которые вы можете использовать, если вам не нравится носить с собой лист бумаги. В статье выше упоминается приложение для iPhone, но я уверен, что есть и другие.
Однако зачем останавливаться на достигнутом? После того, как вы подключили PAM к механизму аутентификации, вы можете стать довольно необычным и более безопасным.
Этот парень имеет модуль PAM, который отправляет токен через SMS, который необходимо ввести, чтобы вы могли использовать свой телефон GSM как часть двухфакторного решения.
Я сам использовал Юбики, который представляет собой небольшой генератор одноразовых паролей с USB-интерфейсом и PAM, поэтому при желании вы можете перейти к выделенному аппаратному решению (весь код под лицензией GPL). Я использую его для управления доступом ssh и sudo, но поскольку это делается через PAM, его можно легко подключить к этапу аутентификации пользователя OpenVPN.
Надеюсь, это проясняет, что это определенно возможно в теории, и дает вам некоторые идеи. Мне жаль, что у меня нет рабочей конфигурации OpenVPN + PAM для добавления, но эта статья с сайта openvpn.net кажется, освещает это более подробно.