Исключения для двухфакторной аутентификации OpenVpn

В статье Двухфакторная аутентификация OpenVpn клиентов (OpenVpn + Google Authenticator) на CentOs 7/8 подробно описано как настроить двухфакторную аутентификацию для клиентов open-vpn.

Ниже описано как сделать исключения.

Допустим, что не требуется использовать двухфакторную аутентификацию для клиента с именем client1 и для любого клиента, который подключается с публичного ip 111.111.111.111


1. Для удобства создадим группу пользователей, для которых будет отключена двухфакторная аутентификация и добавим пользователя client1 в неё:

groupadd no2fa
usermod -g no2fa client1

2. Создадим файл, в котором опишем правила исключения:

nano /etc/security/no2fa.conf
# Содержимое файла:
# No 2fa:
+ : (no2fa) : ALL # Входящие в группу no2fa с любым IP
+ : ALL : 111.111.111.111 # Любые пользователи с IP 111.111.111.111
# All other hosts need two step verification
- : ALL : ALL

3. В файл /etc/pam.d/openvpn добавляем первой строкой:

auth [success=done default=ignore] pam_access.so accessfile=/etc/security/no2fa.conf

Перезапускаем openvpn-server и правила исключений будут работать.

Использованы материалы — https://serverfault.com/questions/799657/ssh-google-authenticator-ignore-whitelist-ips

0

Добавить комментарий

Ваш e-mail не будет опубликован.