Guten Abend,

ich stehe vor einer lustigen Herausforderung, wo mir gerade der Ansatz fehlt, diese zu meistern.

So sieht´s bei uns aus:
Wir haben einen OSX-Server 5.0.15 am Start.
Hier sind diverse Benutzer (Mitarbeiter) angelegt, die sich mit Benutzername/Passwort anmelden können und dann ganz normale Dienste wie Mail, Kalender, Dateiserver usw. ausführen.
Die meisten Mitarbeiter sind mit ihren Laptops irgendwo unterwegs und tuen das oben genannte.

Aufgabe:
Jetzt sollen sich die Benutzer über einen zweiten Weg authentifizieren, per Token oder per Software/SMS-Code übers Handy o.ä. (biometrisches Zeug wie Fingerabdruck gehört leider nicht dazu).
Es reicht, wenn diese 2-Faktor-Authentifizierung für den Dateiserver funktioniert, also wenn man so auf bestimmte Laufwerke oder Ordner zugreifen darf. Die anderen Dienste reichen weiterhin per Benutzer/Passwort, ich denke, dass das auch ganz schön nervig wird, wenn ein Client sich alle paar Minuten mit dem Mailserver verbindet und man dafür immer noch einen Code eingeben muss, oder?

Option
Möglich wäre auch ein Weg über VPN, z.B. der Benutzer baut mit 2 Faktoren eine VPN-Verbindung auf und kann dann wie bisher im Dateisystem rumwerkeln. Allerdings ist mir dabei nicht ganz wohl, weil VPN auf dem Server auf dem Server bei uns immer etwas rumpelig läuft...auch dazu gebe es aber eine Option, nämlich VPN über die Fritzbox davor...

Hat jemand eine Idee?
Vielen Dank

Ich habe selber Sophos UTM 9 SSL VPN mit 2 Wege Authentifizierung über das Handy. Sophos würde die fritzbox würdig ersetzen aber kostet etwas Zeit, je nachdem was man machen will.
Für seine Anforderung gibt es hoffentlich eine einfachere Lösung.

Ich würde zu VPN tendieren (ohnehin, File-Shares sollte man nie vollkommen offen im Netz rumstehen lassen), was sonst noch gut und billig ginge, ist bei den Clients den User-Login per 2-Faktor abzusichern, mit Yubikey zum Beispiel. Das ist aber ein bisschen an der Aufgabenstellung vorbei…