openvpn: auth-user-pass или (и?) пароль?

Два разных пароля, хотя и схожи в том, что видит пользователь, но полностью различаются в том, что они защищают.

Пароль с закрытым ключом - это ключ расшифровки закрытого ключа пользователя, представляющий безопасность для ситуаций хранения данных. Он может быть изменен и удален пользователем по своему усмотрению, если он знаком с сертификатом x.509 и обработкой закрытого ключа. Следует отметить, что в лучшем случае вы, как оператор шлюза VPN, не будете иметь никаких сведений о личных ключах пользователей и их паролях, поскольку они будут генерироваться и поддерживаться самими пользователями.

Пользователь auth-user. Директива -pass запрашивает комбинацию имени пользователя и пароля для доступа OpenVPN. Это сопоставимо с тем, что XAuth делает для IPSec - с его помощью OpenVPN может быть интегрирован с внешними службами аутентификации, такими как RADIUS, LDAP или PAM. Этот может использоваться для смягчения инцидентов с «украденным закрытым ключом», но более вероятно, что он становится единственным методом аутентификации в большинстве установок, поэтому OpenVPN может работать полностью без клиентских сертификатов (с client-cert- необязательный вариант) и предоставляют некоторую функциональность единого входа для пользователей коммутируемого доступа VPN.

Будет ли один из вариантов «лучше», чем другой, во многом зависит от того, что вы на самом деле делаете и чего хотите достичь.