<div dir="ltr">Thanks for quick response, further questions inline.<br><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 11, 2014 at 11:49 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On Mon, 11 Aug 2014, Michael Lasevich wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ok, I am trying to figure out how to use native OTP capabilities in<br>
FreeIPA4 to authenticate users but I am not finding enough docs on how to<br>
USE OTP.<br>
<br>
Specifically I would like to force OTP authentication on specific servers<br>
while allowing password auth in other cases. As I understand<br>
authentication, you can either select OTP or password or both<br>
authentications, but if you select both, the user can use password instead<br>
of otp from ANY server.<br>
</blockquote></div>
That is correct.<div class=""><br></div></blockquote><div><br></div><div>So, it is NOT intended to use for border-style 2FA authentication (i.e. VPN) - which seems may be a common use case for 2FA?<br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Is there any way to block password auth based on source (HBAC rules?) So<br>
far the only way I can figure out is to create a second account, which is<br>
less than optimal.<br>
</blockquote></div>
No, this functionality is not supported. One particular issue is that<br>
we'll need to authenticate before applying HBAC rules, not after, so<br>
some other means to validate the request chain are needed. <br></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Additionally, Kerberos authentication requires to enter your credentials<br>
only when obtaining a ticket granting ticket (TGT) which happens before<br>
a client will ask for a ticket to a specific service. Also, renewing the<br>
ticket might be possible without original credentials. Perhaps we could<br>
add a flag into TGT that would tell how strong were credentials (how<br>
many factors were in use) when TGT was obtained and then use it in a<br>
policy to see if a ticket to the target service principal could be<br>
granted.<br>
<br></blockquote><div><br></div><div>I think I understand -  HBAC has no way to know how you authenticated - so you cannot make rules based on that?<br><br></div><div>Is there a way to test OTP token auth while bypassing kerberos? For example, you can validate user's password via a LDAP login, - can you do a similar validation of OTP token directly?<br>
<br></div><div>Thanks,<br><br></div><div>-M <br></div></div><br></div></div></div>