你们知道可以使用 pam_google_authenticator.so 配置 OpenVPN 吗?无需使用用户名/密码进行身份验证,只需使用证书 + TOTP?我不想为每个新的 VPN 客户端创建一个新的 unix 用户。
我在客户端配置(ovpn 文件)上找不到任何可以启用它的标志(https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html)
更新:
在服务器端我尝试过:
/etc/openvpn/server.conf
auth-user-pass-optional
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn
/etc/pam.d/openvpn
auth required pam_google_authenticator.so
但在 openvpn 日志中我仍然看到:
PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-plugin-auth-pam.so
TLS Auth Error: Auth Username/Password verification failed for peer
答案1
如果你可以将辅助身份验证指向外部 RADIUS 服务器,则RADIUS 服务器专为 OTP 认证而设计。
免责声明:我与 totpradius 有联系