Como fazer funcionar o OpenVPN + OTP + LDAP?

[manoel.geronutti]

Olá,

Trabalho em uma empresa onde grande parte dos funcionários trabalham externamente e através do OpenVPN os usuários se autenticam com o suas credenciais do Active Diretory (via LDAP)
Agora nos foi solicitado que o OpenVPN seja autenticado não somente pelo Active Diretory, ou seja, autenticação de dois fatores (2FA) com o Google Authenticator.

Em pesquisa identifiquei diversos posts e passo-a-passo pra configuração, mas somente com usuário locais.
Gostaria de saber como é feita a configuração com Usuários do Active Diretory + Google Authenticator, e se há essa possibilidade?

Poderiam me orientar com relação a essa demanda?

Obrigado.

[clovis.roncon]

Boa tarde!

Abaixo enviaremos um tutorial resumido dos passos necessários para que o 2FA funcione juntamente com autenticação via Microsoft AD:

> Escolher o tipo "LDAP + Timebased One Time Password";
> Hostname os IP address: Insira o IP do servidor AD;
> Bind Credencials: Insira um usuário válido no AD, o qual tenha permissões de leitura nos grupos que desejar.
> Base DN: Caminho do AD;
> Authentication containers: Selecione os locais permitidos onde este novo server irá consultar as autenticações;
> Extended Query: pode ser usada para selecionar usuários que são membros de um grupo específico (relevante apenas para serviços externos, quando não estiver usando o banco de dados de usuários local). Pode-se usar algo como: & (memberOf = CN = meuGrupo, CN = Usuários, DC = opnsense, DC = local)

Após isto, será necessário importar os usuários do AD para o firewall.
Você consegue importar em System: Access: Users, ao lado do sinal "+" no um ícone de formato de nuvem.

Caso este ícone no formato de nuvem não esteja aparecendo ao lado do "+", será necessário escolher o server AD que foi configurado no firewall em: System: Settings: Administration.
Nesta tela ache a opção Authentication e selecione na caixa de seleção ao lado o server recém criado.
Obs.: NÃO DESMARQUE A OPÇÃO LOCAL DATABASE.

Quando o icone de nuvem ficar visível em System: Access: Users, ao clicar no mesmo será aberta uma janela com os usuários do AD que cadastrou no firewall.

Selecione os usuários que deseja importar para o firewall depois abaixo clique em "Save".

Quando o usuário de AD estiver listado no firewall, localize-o e depois clique em editar.
Localize a opção OTP seed para poder gerar um novo.

Salve, volte no mesmo usuário e gora você poderá capturar a chave via OTP Seed ou via QR Code do usuário em questão.