Configuración de la conexión al servidor de BlackBerry 2FA en un servidor strongSwan
BlackBerry 2FA
en un servidor strongSwanPara configurar la conectividad al servidor de
BlackBerry 2FA
en un servidor strongSwan, debe modificar los archivos ipsec.conf y eap-radius.conf.Para obtener más información sobre estos archivos y sobre cómo configurar strongSwan, visite https://www.strongswan.org/.
Configuración de ipsec.conf
El archivo ipsec.conf está ubicado en el directorio /etc. Debe añadir una nueva sección "conn" al servidor de
BlackBerry 2FA
. Por ejemplo:conn <nombre> keyexchange=ikev2 rightauth=eap-radius rightsendcert=never eap_identity=%any auto=add
Configuración | Descripción |
|---|---|
<name> | Este es el nombre único de la nueva sección de conexión. Es habitual que el nombre refleje algunas características clave de la propia conexión (por ejemplo, IPSec-IKEv2-radius). |
keyexchange=ikev2 | Esta configuración especifica el método de intercambio de claves (por ejemplo, IKEv1, IKEv2). El servidor de BlackBerry 2FA no utiliza esta configuración, pero debe incluirla en la sección conn para activar el intercambio de claves correcto con clientes VPN. Debe asegurarse de que los clientes VPN que se conecten al servidor strongSwan utilicen el mismo método de intercambio de claves. |
rightauth=eap-radius | Esta configuración especifica que el servidor strongSwan debe utilizar EAP a través de RADIUS para autenticar a los clientes VPN para este tipo de conexión. |
rightsendcert=never | Esta configuración especifica que los certificados de usuario no se utilizan para la autenticación de clientes. |
eap_identity=%any | Esta configuración especifica la identidad del cliente VPN que se utilizará para la autenticación. El servidor de BlackBerry 2FA no utiliza esta configuración, pero debe incluirla en la sección conn. El valor "%any" indica al servidor strongSwan que pase la identidad proporcionada por el cliente VPN. |
auto=add | Esta configuración especifica que esta sección de conexión está activa. El servidor de BlackBerry 2FA no utiliza esta configuración, pero debe incluirla en la sección conn. |
Configuración eap-radius.conf
El archivo eap-radius.conf está ubicado en el directorio /etc/strongswan.d/charon. Especifica los detalles de la autenticación de EAP a través de RADIUS. El archivo de configuración predeterminado tiene todas las configuraciones que debe configurar, pero la mayoría están comentados y algunos no tienen ningún valor asignado. Debe modificar la configuración necesaria eliminando el signo de almohadilla (#) y estableciendo los valores como se describe en la siguiente tabla.
Configuración | Descripción |
|---|---|
accounting=no | Esta configuración evita que strongSwan envíe información de cuentas RADIUS al servidor de BlackBerry 2FA . |
nas_identifier | Esta configuración opcional especifica el identificador de NAS que debe incluirse en los mensajes RADIUS. Puede utilizar esta configuración si varios servidores strongSwan están utilizando el mismo servidor de BlackBerry 2FA . |
port=1812 | Esta configuración especifica el puerto utilizado por el servidor de BlackBerry 2FA para recibir solicitudes RADIUS para la autenticación. |
secret= <secreto compartido> | Esta configuración especifica el secreto compartido entre strongSwan y el servidor de BlackBerry 2FA . Al configurar la conectividad del servidor VPN en el servidor de BlackBerry 2FA , debe escribir el secreto compartido RADIUS que especifique aquí. |
server= <IP del servidor VPNAuth> | Esta configuración especifica la dirección IP o el FQDN del servidor de BlackBerry 2FA . |
ike_to_radius=1, 2, 311:1, 311:11, 311:25 | Esta configuración especifica una lista de números separada por comas que representa la lista de atributos RADIUS que necesita strongSwan para reenviar al servidor de BlackBerry 2FA .Los números separados por dos puntos indican atributos específicos del proveedor. El primer número identifica al proveedor (por ejemplo, 311 es el número de Microsoft ) y el segundo número identifica el tipo de atributo.Esta configuración se encuentra en la sección "reenviar" del archivo de configuración. |
radius_to_ike=311:26, 311:17, 311:16 | Esta configuración especifica una lista de números separados por comas que representa la lista de atributos RADIUS que necesita el servidor de BlackBerry 2FA para reenviar a strongSwan.Los números separados por dos puntos indican atributos específicos del proveedor. El primer número identifica al proveedor (por ejemplo, 311 es el número de Microsoft ) y el segundo número identifica el tipo de atributo.Esta configuración se encuentra en la sección "reenviar" del archivo de configuración. |