<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 11, 2014 at 12:30 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Mon, 11 Aug 2014, Michael Lasevich wrote:<br>
</div><div class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So, it is NOT intended to use for border-style 2FA authentication (i.e.<br>
VPN) - which seems may be a common use case for 2FA?<br>
</blockquote></div>
You can always supplement authentication check with some host-specific<br>
information at the VPN concentrator. We don't have ready to use solution<br>
here but it is definitely possible to use such scheme against FreeIPA<br>
2FA.<div class=""><br></div></blockquote><div><br></div><div>Sorry, I am not following.  What do you mean by "host-specific information"? If system has no way to detect how many factors were involved in authentication, how would I be able to guarantee that only 2FA is allowed via this box?<br>
<br></div><div>I suppose this can work: I can write code that will: <br><br>1 - detects if there are OTP numbers at the end of the password<br></div><div>2 - authenticates using full 2FA<br></div><div>3 - authenticates using just password without 2FA<br>
<br></div><div>And then authenticate only if all 3 conditions are satisfied. Seems a bit hacky, but that is the only way I can think that may work. <br><br>Alternative is to set up 2 users for each actual user, one for border and one for internal auth. Force 2fa on border user.  Only allow border users on border boxes.<br>
<br></div><div>Am I missing anything?<br><br></div><div>-M<br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="HOEnZb"><font color="#888888">
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div>