Я пытаюсь разрешить моим пользователям использовать свои учетные данные Google для доступа к нашим корпоративным VPN. У меня работает следующее:
- FreeRadius подключается к Google Secure LDAP и аутентифицирует действительных пользователей через radclient
- Strongswan, настроенный с помощью IKEv2, и подключается к FreeRadius через eap-radius
- Я вижу, как пакеты радиуса поступают в FreeRadius из Strongswan, когда тестовый пользователь обращается к
- MacOS Catalina, настроенный для VPN IPSe c IKEV2 с именем пользователя / паролем
Однако, если другие решили, что это разрешено следующее: - Google Secure LDAP разрешает только привязку имени пользователя / пароля к LDAP и не поддерживает MSCHAPV2 и не предоставляет хэш пароля - Strongswan, похоже, не передает пароль в виде открытого текста в Radius, и, таким образом, FreeRadius не может проверить пользователя (см. попытки использовать MSCHAPV2 что, очевидно, не удается) - IKEV2 с именем пользователя / паролем, по-видимому, функционально эквивалентен предоставлению веб-страницы HTTPS с именем пользователя и паролем, который позволяет любому подключаться и пытаться перебирать учетные данные (так как Secure LDAP не принудительно применяет e 2FA поверх LDAP)
Итак, мои вопросы: - Есть ли способ заставить Strongswan с IKEV2 передавать пароли через Radius? - Существуют ли лучшие способы, позволяющие пользователям проходить аутентификацию, но при этом есть PSK или другие средства для аутентификации своих компьютеров? Попытка избежать необходимости предоставления спецификаций c на каждый компьютер / ноутбук. Сертификат на стороне сервера для VPN эквивалентен HTTPS и позволяет кому-либо подключаться?