Networking
strongSwan 中的 EAP 密碼提示
我正在嘗試使用 strongSwan 設置主機-主機配置。我確實設法使用證書進行設置,現在我希望使用證書 + EAP 身份驗證進行設置。
我將此配置與我之前的證書配置混合併成功連接。但是,此配置要求客戶端將密碼保存在本地。我必須說,如果無論如何都保存在本地,我不明白為什麼要使用密碼而不是證書。我想要的是使用 2 因素身份驗證 - 沒有有效證書的客戶端即使知道密碼也不應該能夠進行身份驗證,並且在嘗試連接時應該提示具有有效證書的客戶端輸入密碼。如果我理解正確,我的選擇是:
- 使用可以提示輸入密碼的 NetworkManager
- 使用md5-id-prompt
如果不需要,我不想綁定到 NetworkManager。第二個選項不起作用,因為
ipsec stroke
我的機器上的命令沒有user-creds
子命令。這可能是因為我使用的是 strongSwan 4.x。即使它確實有效,這也存在兩個主要問題:
- 密碼必須在命令行中輸入,而不是由 互動式提示
ipsec
,這是一種不好的安全做法。- 如果我理解正確,一旦輸入密碼,ipsec 守護程序就會記住它,直到它重新啟動,而不是在每個連接中提示它。
有什麼方法可以在不使用 NetworkManager 的情況下實現我的目標?
有什麼方法可以在不使用 NetworkManager 的情況下實現我的目標?
絕對不是 strongSwan 4.x。在較新的版本中(自 5.1.0 起),您可以使用charon-cmd,這是一個簡單的命令行 IKE 客戶端,會提示您輸入 EAP 密碼。
密碼必須在命令行中輸入,而不是由 ipsec 互動式提示,這是一種不好的安全做法。
rw-eap-md5-id-prompt範例是一個自動化測試案例,所以在呼叫時自然會直接在命令行中提供密碼
ipsec stroke user-creds
。但是,如果您不這樣做,則會以互動方式提示您。如果我理解正確,一旦輸入密碼,ipsec 守護程序就會記住它,直到它重新啟動,而不是在每個連接中提示它。
對,那是正確的。使用者名和密碼被記憶體,直到守護程序重新啟動。