1
German - Deutsch / 2FA für einige User (oder eine Gruppe) ausschließen
« on: May 23, 2024, 02:55:57 pm »
Hallo,
habe gerade ein wenig mit 2FA gespielt und funktioniert an für sich wunderbar.
ABER: ich habe auf der FW einige Nutzer für die ich aus legacy Gründen kein 2FA aktivieren kann, d.h. die benötigen zwigend noch user + pass. Die sind alle in einer extra Gruppe, d.h. sind leicht identifzierbar. Die Anmeldung führen sie gegen die lokale DB von OPNsense durch. Gibt es einen Trick, 2FA für alle Gruppen/User zu erzwingen, dabei aber eine Gruppe oder notfalls auch einzelne User auszuschließen?
Konnte leider nur entweder 2FA UND lokale DB auswählen, ODER nur 2FA. Mit der "nur 2FA" Auswahl deaktiviere ich de facto alle legacy Nutzer, mit "2FA UND lokale DB" hebel ich letzlich 2FA aus und alle können weiterhin user + pass nutzen...
Gibt es einen einfachen Trick das granularer einzustellen? Habe ein paar ältere Foreneinträge gefunden (z.B: https://forum.opnsense.org/index.php?topic=17741.0), die waren aber ohne Antwort.
Notlösung die mir einfallen würde: alle User (außer dem Admin) Richtung LDAP/Radius ziehen?
Gruß, Hans
habe gerade ein wenig mit 2FA gespielt und funktioniert an für sich wunderbar.
ABER: ich habe auf der FW einige Nutzer für die ich aus legacy Gründen kein 2FA aktivieren kann, d.h. die benötigen zwigend noch user + pass. Die sind alle in einer extra Gruppe, d.h. sind leicht identifzierbar. Die Anmeldung führen sie gegen die lokale DB von OPNsense durch. Gibt es einen Trick, 2FA für alle Gruppen/User zu erzwingen, dabei aber eine Gruppe oder notfalls auch einzelne User auszuschließen?
Konnte leider nur entweder 2FA UND lokale DB auswählen, ODER nur 2FA. Mit der "nur 2FA" Auswahl deaktiviere ich de facto alle legacy Nutzer, mit "2FA UND lokale DB" hebel ich letzlich 2FA aus und alle können weiterhin user + pass nutzen...
Gibt es einen einfachen Trick das granularer einzustellen? Habe ein paar ältere Foreneinträge gefunden (z.B: https://forum.opnsense.org/index.php?topic=17741.0), die waren aber ohne Antwort.
Notlösung die mir einfallen würde: alle User (außer dem Admin) Richtung LDAP/Radius ziehen?
Gruß, Hans