strongSwan中的密码提示

Question

我正在尝试使用strongSwan设置主机配置。我确实成功地使用证书设置了它，现在我希望使用证书+ EAP身份验证来设置它。

我将这种配置与以前的证书配置混合，并成功连接。但是，此配置要求客户端在本地保存密码。我必须说，如果在本地保存的话，我不明白为什么要使用密码而不是证书。我想要的是使用2因素身份验证--即使客户端知道密码，没有有效证书的客户端也不能进行身份验证，并且在尝试连接时，应该提示具有有效证书的客户端输入密码。如果我理解正确，我的选择是：

1. 使用NetworkManager，它可以提示输入密码
2. 使用MD5-id提示

如果没有必要的话，我不想被绑在NetworkManager上。第二个选项没有工作，因为我的机器上的ipsec stroke命令没有user-creds子命令。这可能是因为我使用了strongSwan 4.x。即使成功了，也有两个主要的问题：

1. 密码必须输入到命令行中，而不是由ipsec交互提示，这是一种糟糕的安全做法。
2. 如果我正确理解，一旦输入密码，ipsec守护进程将记住它直到重新启动，而不是在每个连接中提示它。

有没有办法不使用NetworkManager来完成我的目标？

Answer 1

有没有办法不使用NetworkManager来完成我的目标？

strongSwan 4.x绝对不行。在较新的版本(从5.1.0开始)中，您可以使用查隆-厘米，这是一个简单的命令行IKE客户端，它将提示您输入EAP密码。

密码必须输入到命令行中，而不是由ipsec交互提示，这是一种糟糕的安全做法。

rw MD5-id提示示例是一个自动测试用例，因此在调用ipsec stroke user-creds时，自然会在命令行直接提供密码。但是，如果你不这样做，你会被提示它的互动。

如果我正确理解，一旦输入密码，ipsec守护进程将记住它直到重新启动，而不是在每个连接中提示它。

是的，没错。用户名和密码被缓存，直到守护进程重新启动。