<div dir="ltr">My thought is that while 2 and 3 are same from IPA point of view, since I am guaranteed to be sending a different credentials in those cases I am guaranteed to be checking both password and otp. Prevents a case where user's password ends in a string of digits similar to OTP.<br>
<br><div><div class="gmail_extra">I will look into checking the tokens for changes, but that seems a bit more complicated and error-prone.<br><br></div><div class="gmail_extra">-M<br></div><div class="gmail_extra"><br><div class="gmail_quote">
On Mon, Aug 11, 2014 at 1:04 PM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On Mon, 11 Aug 2014, Michael Lasevich wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Mon, Aug 11, 2014 at 12:30 PM, Alexander Bokovoy <<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>><br>
wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On Mon, 11 Aug 2014, Michael Lasevich wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
So, it is NOT intended to use for border-style 2FA authentication (i.e.<br>
VPN) - which seems may be a common use case for 2FA?<br>
<br>
</blockquote>
You can always supplement authentication check with some host-specific<br>
information at the VPN concentrator. We don't have ready to use solution<br>
here but it is definitely possible to use such scheme against FreeIPA<br>
2FA.<br>
<br>
<br>
</blockquote>
Sorry, I am not following.  What do you mean by "host-specific<br>
information"? If system has no way to detect how many factors were involved<br>
in authentication, how would I be able to guarantee that only 2FA is<br>
allowed via this box?<br>
<br>
I suppose this can work: I can write code that will:<br>
<br>
1 - detects if there are OTP numbers at the end of the password<br>
2 - authenticates using full 2FA<br>
3 - authenticates using just password without 2FA<br>
<br>
And then authenticate only if all 3 conditions are satisfied. Seems a bit<br>
hacky, but that is the only way I can think that may work.<br>
</blockquote></div>
2 and 3 are the same from IPA point of view, just an LDAP bind. Ideally SSSD could handle this as part of a PAM stack by providing PAM<br>
feedback that could be used by other modules. There was no request for<br>
this functionality before.<br>
<br>
However, I was mostly thinking that you may have an authentication<br>
sequence where past successful auth you would check tokens associated<br>
with the user to see if there is a recent update within the same time<br>
period on one of tokens. This would work right now, though it is a bit a<br>
hack -- a better one than the 2-accounts-per-user.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br></div></div></div>