2FA für einige User (oder eine Gruppe) ausschließen

[H_Maier]

Hallo,

habe gerade ein wenig mit 2FA gespielt und funktioniert an für sich wunderbar.
ABER: ich habe auf der FW einige Nutzer für die ich aus legacy Gründen kein 2FA aktivieren kann, d.h. die benötigen zwigend noch user + pass. Die sind alle in einer extra Gruppe, d.h. sind leicht identifzierbar. Die Anmeldung führen sie gegen die lokale DB von OPNsense durch. Gibt es einen Trick, 2FA für alle Gruppen/User zu erzwingen, dabei aber eine Gruppe oder notfalls auch einzelne User auszuschließen?
Konnte leider nur entweder 2FA UND lokale DB auswählen, ODER nur 2FA. Mit der "nur 2FA" Auswahl deaktiviere ich de facto alle legacy Nutzer, mit "2FA UND lokale DB" hebel ich letzlich 2FA aus und alle können weiterhin user + pass nutzen...
Gibt es einen einfachen Trick das granularer einzustellen? Habe ein paar ältere Foreneinträge gefunden (z.B: https://forum.opnsense.org/index.php?topic=17741.0), die waren aber ohne Antwort.
Notlösung die mir einfallen würde: alle User (außer dem Admin) Richtung LDAP/Radius ziehen?

Gruß, Hans

[Monviech (Cedrik)]

Wenn es IPsec oder SSLVPN ist kann man 2FA auch noch anders realisieren, z.B. Client Zertifikat (etwas das ich habe) + Passwort (etwas das ich weiß).

[H_Maier]

Ja, per Zertifkat geht sicher auch, aber einige (alte) Clients bieten das bei mir leider erst gar nicht an. Von daher hatte ich gehofft, dass sich an der Stelle etwas getan hat.
Wenn nein, ist es aber auch nicht schlimm: habe keinen Zwang zu 2FA.

[Patrick M. Hausen]

Wir standen vor demselben Dilemma. Wollten alle Admin-Logins mit 2FA haben und einen root-User ohne, das 30stellige Passwort im Tresor.

Falls die 2FA mal ausfällt, z.B. weil Datum und Uhrzeit spinnen.

Haben uns dann gegen 2FA entschieden und den Zugriff zusätzlich zu guten Passwörtern noch auf IP-Adressen eingeschränkt.