VPN Authentification only per Zwei-Faktor-Authentisierung (2FA)

Liebes Univention Team,
liebes Forum,

Wir testen gerade die Zwei-Faktor-Authentisierung (2FA) mit einem UCS in der Version 4.3-3 mit OpenVPN4UCS (Version 1.1.16) und privacyIDEA (Version 2.23.2 inkl. privacyidea-ucs-pam_2.7.1-1_all).

Z.Zt. kann ich mich an der VPN entweder mit der Kombination aus DomainUser + DomainUserKennwort, oder mit der Kombination aus DomainUser + Pin + Token anmelden.

Ist es möglich die Kombination aus DomainUser + DomainUserKennwort für die Authentifizierung an der VPN zu deaktivieren, sodass nurnoch die Variante mit 2FA möglich ist?

Bisher haben wir versucht dies per privacyIDEA Richlinien zu erzwingen, jedoch leider ohne Erfolg.

Vielleicht kennt ja jemand eine Lösung.

Vielen Dank und schöne Grüße,
Migo Fußhöller

Nabend Zusammen,

die Frage hat sich erledigt.

Die freundlichen Mitarbeiter von bytemine.net (die Macher von OpenVPN4UCS) konnten mir schon weiter helfen…

…kommentieren oder entfernen Sie die Zeile

@include ldaponly-auth

in der Datei /etc/univention/templates/files/etc/pam.d/openvpn
und fuehren Sie dann nochmal

# ucr set privacyidea/pam/enable=yes

aus, um die Datei /etc/pam.d/openvpn neu zu erzeugen.

Im Anschluss ist nurnoch die Authentifizierung per DomainUser + Pin + Token an der VPN möglich.

Vielen Dank nochmal an das Team von bytemine.

Einen schönen Abend noch zusammen.

Schöne Grüße aus dem Rheinland,
Migo