Gibt es eine Möglichkeit, Duo 2FA für einige Konten bei der Verbindung mit OpenVPN zu vermeiden?
Grundsätzlich startet der OpenVPN-Client eine Verbindung zum OpenVPN-Server, der das DUO-Modul basierend auf einer Konto-Whitelist überspringen und nur per Benutzer-ID und Passwort authentifizieren sollte.
Antwort1
Wir haben dies einmal mit pam_per_user eingerichtet (das je nach Benutzername unterschiedliche Authentifizierungsquellen verwenden konnte).
Dieselbe Funktionalität kann durch die Verwendung eines Skripts für Auth-User-Pass-Verify erreicht werden:
auth-user-pass-verify /opt/openvpn/scripts/openVPN-authenticate.pl via-env