MS Radius + OpenVPN mellé two factor

Fórumok

Hellósztok,

Van egy rég óta hiba nélkül menő MS Radius + OpenVPN telepítés (2012-n fut a Radisu szerver és CentOS 7 az OpenVPN).

Most előjött az igény, hogy kéne two factor (TOTP mondjuk), ami nem gyártó specifikus (mint pl. az RSA).

Neten utánanézve, ez annyira nem is nagy meló, ha mondjuk FreeRadiusom lenne, vagy az OpenVPN pam-nól autholna. Nade én olyat próbálnék keresni, ahol az MS-es Radius szerver marad, és a helyi pam auth nem megoldható (viszont a radiust akár lecserélhetem ldap-ra az openvpn-ben ha az jobb).

Azt láttam, hogy a fizetős OpenVPN-be benne van egyszerre a kettő (google authenticator + radisu/ldap auth), gondolom ők akkor az openvpn-be oldják meg, saját scripttel vagy mi lehet a nyerő?

Tud valaki valami jó megoldást, amivel viszonylag könnyedén lehet implementálni a fentit?

Hozzászólások

Erre alkalmasnak tűnik az Azure MFA, annak van Radius proxy képessége.
A név ne tévesszen meg, van olyan variációja is, ami teljesen saját környezetben működik, helyi felhasználókkal, csak az 2FA azonosítási kéréseket küldi ki egy felhős konnektoron keresztül.
Bővebben: https://azure.microsoft.com/en-us/services/multi-factor-authentication/

Üdv,
Marci
A Microsoftnál dolgozom.

Más, de dupla védelem:
cert + név, jelszó

Ez szintén könnyen megoldható.
Amíg nem jó certtel próbálkozik a kliens, a szerver szóba sem áll vele. Ezt követően próbálkozhatna csak a név-jelszó párossal.