Аутентификация клиентов openvpn по сертификату ИЛИ пользователю / паролю

Я настроил свой сервер openvpn для аутентификации клиентов с помощью user/pass (ldap) и OTP/2FA (google authenticator). Работает отлично!

У меня есть клиенты osx, которые используют Tunnelblick в качестве клиента openvpn, и он не поддерживает OTP/2FA. Поэтому мне нужно использовать аутентификацию TLS с закрытым / открытым ключом для них.

Могу ли я создать один экземпляр openvpn для аутентификации пользователей с помощью TLS, когда клиент отправляет сертификат, и с помощью user/pass+OTP, когда клиент не отправляет сертификат?

План Б состоит в том, чтобы установить два экземпляра, но если возможно, я бы хотел этого избежать.