[9.200][ANSWERED] OTP Behaviour with loginuser & root

After you enable OTP for Shell Access all users have to present their current OTP passcode to get in. The Shell Access feature itself (unlike the other ones supported) knows just about the root and loginuser accounts. These are not even real user accounts on the UTM, just plain Unix ones.

So tokens of "real" UTM users have to be marked for Shell Access (in the "Advanced" section of the token's configuration options). This effectively makes the token owner a Shell Access user. OTP Shell Access users now log in using "loginuser" and a password in the form "".

That's way too complicated, sorry about that. =) We'll change the Shell Access feature in a future version of UTM, so you can configure it using regular UTM accounts and all the complexity will go away. Until then you can at least take away shell access from people without changing the loginuser password every time. Just disable the respective token and you are set.

Thank for replying and yes, pretty messy/confusing and still unable to login (with the Google Authenticator code) with loginuser to the shell after enabling OTP, checking the "Shell Access" box and "Token can be used for shell access" for a user. However, I can login as "loginuser" with  where I use an additional code for that user.

So to be clear (and for the KB), if "Shell Access" has been checked under "Enable OTP for facilities" then:

1: You can no longer login to the UTM with "loginuser" through remote SSH or "root" at the console using only the original password for those accounts.

2: In order to login as "loginuser" at least one UTM user with "OTP Tokens" must exist, has "Token can be used for shell access" and have "Addittional Codes" created.

3: You can then login as "loginuser" with the password format 

Is this correct?

This doesn't affect login on the physical console. It's just for SSH remote shell access over the network. Besides that everything's correct.