<div dir="ltr">We've found it easier to integrate a 2FA solution into OpenVPN and local login separately. If you go with a solution that works with PAM, setting it up with OpenVPN Access Server (the commercial product) and local login (FreeIPA-backed) is pretty straightforward. The only thing it won't protect is the FreeIPA web UI, but if you put that behind a VPN or IP whitelist it should be less of an issue.<div><br></div><div>Ben</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 27, 2015 at 10:53 AM, Bendl, Kurt <span dir="ltr"><<a href="mailto:Kurt.Bendl@nrel.gov" target="_blank">Kurt.Bendl@nrel.gov</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I want to know if I can configure FreeIPA's native OTP solution to require an account to use OTP when authenticating from a specific app (OpenVPN or StrongSwan) but not require 2FA when logging into a system/server or the IPA app.<br>
<br>
My (not completely baked) thought is to provision the VPN solution by setting up a role or group in IPA that I'd add accounts into. The VPN would allow users of that group to auth, using userid and password+OTP to successfully.<br>
<br>
I've been reading through docs on the freeipa and red hat sites, e.g., <a href="https://www.freeipa.org/page/V4/OTP/Detail" target="_blank">https://www.freeipa.org/page/V4/OTP/Detail</a> and <a href="http://www.freeipa.org/page/V4/OTP#Enabling_OTP_and_RADIUS" target="_blank">http://www.freeipa.org/page/V4/OTP#Enabling_OTP_and_RADIUS</a>, to determine if or how that might be doable.<br>
<br>
>From what I read, an alternate approach from FreeIPA's built-in OTP might be to set up a stand-alone OTP solution and use radius and/or a PAM module to handle the VPN auth.<br>
<br>
I've DL'd the source, but there's so much there it'll take me some time to figure out what's happening.<br>
<br>
Any pointers on what approach I should take or where to find some notes and examples on how this might be accomplished would be greatly appreciated.<br>
<br>
Thanks,<br>
  Kurt<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Benjamen Keroack</div><div><i>Infrastructure/DevOps Engineer</i></div><div><a href="mailto:benjamen@dollarshaveclub.com" target="_blank">benjamen@dollarshaveclub.com</a></div><div><br></div></div></div></div></div>
</div></div>