<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Hi,</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We have been using the OTP feature of FreeIPA extensively for users to login to the web UI. Now we are rolling out an external service using the LDAP authentication based on FreeIPA and OTP. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">End users typically login rarely to the web UI. Only to update their SSH keys once in 90 days. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">However to the new service based on FreeIPA's LDAP they would be logging in multiple times daily. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Here is an observation: FreeIPA's OTP mechanism is very stringent in requiring the current token to be inside the 30 second window. Because of this there might be a sizable percentage of users who will have to retry login. Obviously, this is a bad user experience. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">As per the <a href="http://www.rfc-base.org/txt/rfc-6238.txt">RFC-6238</a> section 5.2, we could allow 1 time step and make the user experience better. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Can this be done by changing a config or does it involve a patch/code-change. Any pointers to this appreciated. </div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Thanks.</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">--Prashant</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div></div>