我正在尝试使用strongSwan设置主机 – 主机configuration。 我确实设法使用证书,现在我想使用证书+ EAPauthentication来设置它。
我将这个configuration与我以前的证书configuration混合并成功连接。 但是,此configuration要求客户端将本地保存密码。 我必须说,我不明白为什么我应该使用密码,而不是证书,如果它本地保存。 我想要的是使用2因素身份validation – 没有有效证书的客户端即使知道密码也不应该能够进行身份validation,并且在尝试连接时应提示拥有有效证书的客户端input密码。 如果我理解正确,我的select是:
我不想被绑定到NetworkManager,如果我不必。 第二个选项不起作用,因为我的机器上的ipsec stroke命令没有user-creds子命令。 这可能是因为我使用strongSwan 4.x. 即使这样做,也有两个主要的问题:
ipsec进行交互式提示,这是一种不好的安全措施。 有什么办法可以在不使用NetworkManager的情况下完成我的目标?
有什么办法可以在不使用NetworkManager的情况下完成我的目标?
绝对不能与strongSwan 4.x. 在较新的版本(自5.1.0开始)中,您可以使用charon-cmd ,这是一个简单的命令行IKE客户端,会提示您inputEAP密码。
必须在命令行中input密码,而不是通过ipsec进行交互式提示,这是一种不好的安全措施。
rw-eap-md5-id-prompt示例是一个自动化的testing用例,所以当调用ipsec stroke user-creds时,口令自然直接在命令行上提供。 但是,如果你不这样做,你会被交互式地提示。
如果我理解正确,一旦input密码,ipsec守护进程将记住它,直到重新启动,而不是在每个连接中提示。
对,那是正确的。 caching用户名和密码,直到守护进程重新启动。