Konfigurieren der Verbindung zum BlackBerry 2FA-Server auf einem strongSwan-Server
BlackBerry 2FA
-Server auf einem strongSwan-ServerZum Konfigurieren der Verbindung zum
BlackBerry 2FA
-Server auf einem strongSwan-Server müssen Sie die Dateien ipsec.conf und eap-radius.conf ändern.Weitere Informationen zu diesen Dateien und zum Konfigurieren von strongSwan finden Sie unter visit https://www.strongswan.org/.
Konfiguration von ipsec.conf
Die Datei ipsec.conf befindet sich im Verzeichnis /etc. Sie müssen einen neuen Abschnitt „conn“ für den
BlackBerry 2FA
-Server hinzufügen. Beispiel:conn <Name> keyexchange=ikev2 rightauth=eap-radius rightsendcert=never eap_identity=%any auto=add
Einstellung | Beschreibung |
|---|---|
<Name> | Das ist ein eindeutiger Name für den neuen Verbindungsabschnitt. Es ist eine gängige Praxis, dass dieser Name einige wichtige Merkmale der Verbindung selbst enthält (z. B. IPSec-IKEv2-radius). |
keyexchange=ikev2 | Mit dieser Einstellung werden Schlüsselaustauschmethoden festgelegt (z. B. IKEv1, IKEv2). Der BlackBerry 2FA -Server verwendet diese Einstellung nicht, aber Sie müssen diese im Abschnitt „conn“ aufnehmen, um einen ordnungsgemäßen Schlüsselaustausch mit VPN-Clients zu ermöglichen. Sie müssen sicherstellen, dass die VPN-Clients, die mit dem strongSwan-Server verbunden sind, dieselbe Methode für den Schlüsselaustausch nutzen. |
rightauth=eap-radius | Diese Einstellung gibt vor, dass der strongSwan-Server EAP anstelle von RADIUS zur Authentifizierung von VPN-Clients für diese Art der Verbindung verwendet. |
rightsendcert=never | Diese Einstellung gibt vor, dass Benutzerzertifikate nicht für die Client-Authentifizierung verwendet werden. |
eap_identity=%any | Diese Einstellung gibt die Identität des VPN-Clients an, der für die Authentifizierung zu verwenden ist. Der BlackBerry 2FA -Server verwendet diese Einstellung nicht, aber Sie müssen diese im Abschnitt „conn“ aufnehmen. Der Wert „%any“ weist den strongSwan-Server an, die vom VPN-Client bereitgestellte Identität zu übergeben. |
auto=add | Diese Einstellung gibt an, dass dieser Verbindungsabschnitt aktiv ist. Der BlackBerry 2FA -Server verwendet diese Einstellung nicht, aber Sie müssen diese im Abschnitt „conn“ aufnehmen. |
Konfiguration von eap-radius.conf
Die Datei eap-radius.conf befindet sich im Verzeichnis /etc/strongswan.d/charon. Sie enthält die 'Details zur Verwendung von EAP anstelle von RADIUS für die Authentifizierung. Die Standardkonfigurationsdatei enthält alle Einstellungen, die Sie konfigurieren müssen, die meisten davon sind jedoch auskommentiert, und einigen ist gar kein Wert zugewiesen. Sie müssen die erforderlichen Einstellungen ändern, indem Sie das Rautezeichen (#) entfernen und deren Werte wie in der nachfolgenden Tabelle beschrieben festlegen.
Einstellung | Beschreibung |
|---|---|
accounting=no | Diese Einstellung verhindert, dass strongSwan RADIUS-Accounting-Informationen an den BlackBerry 2FA -Server sendet. |
nas_identifier | Diese optionale Einstellung gibt an, dass der NAS-Identifikator in RADIUS-Nachrichten aufgenommen werden soll. Sie können diese Einstellung verwenden, wenn mehrere strongSwan-Server denselben BlackBerry 2FA -Server verwenden. |
port=1812 | Diese Einstellung gibt den Port an, den der BlackBerry 2FA -Server für den Empfang von RADIUS-Authentifizierungsanforderungen verwendet. |
secret= <Gemeinsamer geheimer Schlüssel> | In dieser Einstellung wird der gemeinsame geheime Schlüssel zwischen strongSwan- und BlackBerry 2FA -Server festgelegt. Wenn Sie auf dem BlackBerry 2FA -Server die VPN-Serververbindung konfigurieren, müssen Sie den gemeinsamen geheimen RADIUS-Schlüssel eingeben, den Sie hier festlegen. |
server= <IP des VPNAuth-Servers> | Diese Einstellung legt die IP-Adresse oder FQDN des BlackBerry 2FA -Servers fest. |
ike_to_radius=1, 2, 311:1, 311:11, 311:25 | Mit dieser Einstellung wird eine durch Komma getrennte Liste von Ziffern festgelegt, welche die Liste der RADIUS-Attribute darstellt, die strongSwan an den BlackBerry 2FA -Server weiterleiten muss.Bei durch Doppelpunkt getrennten Ziffern handelt es sich um anbieterspezifische Attribute. Die erste Zahl identifiziert den Anbieter (311 ist beispielsweise die Zahl für Microsoft ), und die zweite Zahl identifiziert den Attributtyp.Diese Einstellung ist im Abschnitt „forward“ der Konfigurationsdatei enthalten. |
radius_to_ike=311:26, 311:17, 311:16 | Mit dieser Einstellung wird eine durch Komma getrennte Liste von Ziffern festgelegt, welche die Liste der RADIUS-Attribute darstellt, die der BlackBerry 2FA -Server an strongSwan weiterleiten muss.Bei durch Doppelpunkt getrennten Ziffern handelt es sich um anbieterspezifische Attribute. Die erste Zahl identifiziert den Anbieter (311 ist beispielsweise die Zahl für Microsoft ), und die zweite Zahl identifiziert den Attributtyp.Diese Einstellung ist im Abschnitt „forward“ der Konfigurationsdatei enthalten. |