Я пытаюсь реализовать PAM-аутентификацию сервера OpenVPN для пользователей, хранящихся на сервере IPA. Мой вариант использования требует аутентификации PAM, а не аутентификации LDAP.
При тестировании пользователь, настроенный в IPA для аутентификации только с паролем, может успешно пройти аутентификацию. Но аутентификация не выполняется, когда пользователь IPA настроен на аутентификацию с паролем + токеном OTP.
Как описано в ссылке @ https://sourceforge.net/p/openvpn/mailman/message/35969399/
Я настроил /etc/pam.d/openvpn так:
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_sss.so otp_in_password
auth required pam_deny.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
Но аутентификация не выполняется, и в журнале IPA отображаются недопустимые учетные данные.
Я читал в другом месте, чтобы настроить SSSD для принятия значения 2FA как части поля пароля, потому что OpenVPN не имеет возможности запрашивать несколько запросов для разговора PAM. Но я не уверен, как это сделать.