<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">+1 For enforcing OTP in web UI. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">When the user logs in for the first time he should be taken to a page to create a OTP token. Users should be able to login only using passwd+OTP. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Are there any ideas for ensuring that all users are using OTP tokens ?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 4 May 2016 at 05:12, Peter Bisroev <span dir="ltr"><<a href="mailto:peter@int19h.net" target="_blank">peter@int19h.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Dear Developers,<br><br>Firstly, thank you for a fantastic product. I have a few questions relating to OTP that I could not find the answers to in the Red Hat IdM manual, <a href="http://www.freeipa.org/page/V4/OTP" target="_blank">http://www.freeipa.org/page/V4/OTP</a> document, and on both user and devel mailing lists. Hopefully I have not missed anything obvious :)<div><br></div><div>With FreeIPA version 4.2, is it possible to enforce policies on what administrators and/or users can do with OTP tokens? For example:<div><br></div><div>1) Is there a way to enforce how many tokens can be active for a user at the same time?<br></div><div><br></div><div>2) Is it possible to force the number of digits to be eight and a specific algorithm to be used?</div><div><br></div><div>3) Is it possible to force the user to create a new OTP token after the first password change?</div><div><br></div><div>If there is such support, it can be used to overcome the soft OTP token enrollment bootstrap issue. For example, currently, if the administrator creates a new user and enables "Two factor authentication (password + OTP)" but does not assign an OTP token, the user is able to login, change the password and continue using the new password without enabling 2FA indefinitely.</div><div><br></div><div>However, once the OTP token is created, either by administrator or the user, the systems forces the token's use from this point on. Maybe in the future, FreeIPA can force the user to enable OTP at first login into the FreeIPA console? But I guess then, the system must somehow stop the users from login in into any other service besides FreeIPA web console, until the OTP token is generated.</div><div><br></div><div>A few more questions:</div><div><br></div><div>Would it be possible to describe a use case when having multiple OTP tokens enabled at the same time is a requirement?</div></div><div><br></div><div>How does TOTP token synchronization work? Can it be disabled?</div><div><br></div><div>Thank you for your time and help!</div><div><br></div><div>Regards,</div><div>--peter</div><div><br></div></div>
<br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div>