Доступно ли какое-либо решение, поддерживающее 2FA в OpenLDAP для аутентификации пользователей?

privacyIDEA может считывать ваших пользователей и все необходимые атрибуты из OpenLDAP. Вы можете определить сопоставление атрибутов для чтения любых произвольных атрибут из OpenLDAP.

В PrivacyIDEA вы можете определить политику, которая требует от пользователя чтобы ввести пароль LDAP плюс значение OTP.

Затем в simpleSAMLphp вы можете определить источник авторизации как privacyIDEA. Таким образом, вы, пользователь, можете аутентифицироваться с помощью своего пароля LDAP и OTP на IdP. Если вы хотите, вы можете использовать параметр otpextra даже для использования двухшагового диалога, где пользователю сначала нужно ввести свой пароль LDAP, а затем значение OTP.

Используйте сопоставление в модуле SAML privacyIDEA или фильтры authproc для дальнейшего сопоставления ваших атрибутов.

Похоже, что OpenLDAP поддерживает TOTP (чаще всего называемый Google Authenticator) с модулем slapd.

Модуль для OpenLDAP можно найти здесь . Статью с описанием можно найти здесь. Документация к модулю кажется немного легкой, но сам модуль небольшой и довольно читаемый.

В своем Æ-DIR я использую собственное решение OATH-LDAP, который добавляет данные токена в виде записей LDAP. В настоящее время валидатор поддерживает только HOTP на основе счетчика (см. RFC 4226). Его можно использовать, например. с yubikey, и для этого также доступен сценарий регистрации.

К сожалению, в настоящее время нет доступной документации о том, как использовать автономный OATH-LDAP в произвольной установке OpenLDAP.

Дайте мне знать, если вы хотите покопаться в этом.

В качестве альтернативы вы также можете использовать privacyIDEA LDAP Proxy, чтобы по-прежнему использовать ldap:ldap источник авторизации simpleSAMLphp, но «обогатить» его значением OTP.