Учет соединений IPsec с аутентификацией RSA
IOS Apple имеет "VPN По требованию" функция. С этой функцией сделано соединение VPN каждый раз, когда устройство пытается соединиться с определенными доменами или с Интернетом вообще. iOS поддерживает "VPN По требованию" только с сертифицированной аутентификацией.
Для обеспечения "VPN По требованию" для пользователей iOS моего офиса сервер VPN, мы используем следующее решение IPSec:
- Ubuntu 14.04 - сервер VPN ОС.
- strongSwan 5.1.2 - демон IKE.
- Для каждого однорангового узла я генерирую отдельный закрытый ключ и выпускаю сертификат соответствия. Клиент (iOS IKEv1) аутентифицирует использование RSA и Xauth.
- iPhone и iPad не могут использовать IPSec без Xauth (так называемая Cisco IPSec). И "VPN По требованию" не может использовать профиль VPN, который требует, чтобы ввод пароля, но имя пользователя/пароль обычно требовался Xauth. Для решения этой проблемы, мы используем xauth-noauth - фальсифицируют аутентификатор Xauth, который позволяет любое имя пользователя и пароль. В этом случае мы используем только клиентский сертификат для аутентификации его.
Это решение хорошо работает для нас. Но мы добрались, новое требование - устанавливают несколько серверов VPN с одной пользовательской базой данных и делают учет из использования VPN.
Это - обычная практика для этой задачи использовать RADIUS, и strongSwan имеет плагин для него. Но strongSwan с IKEv1/Xauth использует имя пользователя/пароль для аутентификации пользователя на бэкенде сервер RADIUS. имя пользователя/пароль не использует в моем решении.
Мои вопросы:
- Как использовать учет Радиуса, если Xauth не использует имя пользователя/пароль?
- Действительно ли возможно делегировать проверку аутентификации RSA к серверу RADIUS?
P.S. Большинство моих клиентов iOS использует iOS 8, который поддерживает IKEv2. В IKEv2 существует EAP-TLS. Я могу использовать EAP-TLS для делегирования проверки аутентификации RSA к серверу RADIUS? Или я закапываю неправильное направление с EAP-TLS?
P.S. P.S. Моя вторая вещь была об интерфейсе VICI strongSwan. Я предположил для получения уведомлений о каждом новом соединении IPsec, но похож, ПОБЕДИЛ прокладывает себе путь.
Учет RADIUS в подключаемом модуле eap-radius не требует аутентификации XAuth. Фактически он работает с любым типом аутентификации, через RADIUS или нет, если клиент запрашивает виртуальный IP-адрес (для IKEv2 даже это требование можно отключить). Однако с некоторыми клиентами IKEv1 возникают некоторые проблемы в случае повторной аутентификации (см. Проблему # 937 и связанные).
EAP-TLS позволяет делегировать аутентификацию сертификата для клиентов IKEv2 серверу AAA , но это не имеет отношения к учету RADIUS.
Þökk sé ecdsa, ég hef fundið nokkrar lausnir á vandamálinu mínu.
- Notaðu RADIUS bókhald án RADIUS auðkenningar.
Ef eap-radius viðbót er virk með möguleika bókhald = já , strongSwan mun senda RADIUS skilaboð til að hefja bókhald, jafnvel þótt eap-radius sé ekki notaður í ipsec.conf skrá. Í mínu tilfelli líta þessi RADIUS skilaboð svona út:
Acct-Status-Type = Start
Acct-Session-Id = 1434531934-1
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Id = ios-ikev1-fakexauth
NAS-IP-Address = <nas_ip>
Called-Station-Id = <nas_ip>[4500]
Calling-Station-Id = <client_ip>[4500]
User-Name = "C=CH, O=strongSwan, CN=myemail@mail.com"
Framed-IP-Address = 172.20.1.1
NAS-Identifier = strongSwan
Ég get fengið vottorð CN frá skilaboðum og mér er nóg að gera rétt bókhald. Ef ég vil hafna aðgangi fyrir einhverja CN get ég bara hafnað RADIUS skilaboðum frá stronSwan og ipsec tengingin verður rofin.
- Gerðu bókhald og aðgangsathugun í updown handritinu í stað þess að nota RADIUS.
Einnig langar mig að nota strongSwan curl tappi til að fá aðgang að afturköllunarlistanum. En ég hef fundið skort á skjölum um þessa viðbót. Er ég að missa af einhverju?