Configuration de la connexion au serveur BlackBerry 2FA sur un serveur strongSwan
BlackBerry 2FA
sur un serveur strongSwanPour configurer la connectivité au serveur
BlackBerry 2FA
sur un serveur strongSwan, vous devez modifier les fichiers ipsec.conf et eap-radius.conf.Pour plus d'informations sur ces fichiers et sur la façon de configurer strongSwan, visitez https://www.strongswan.org/.
Configuration du fichier ipsec.conf
Le fichier ipsec.conf se trouve dans le répertoire /etc. Vous devez ajouter une nouvelle section « conn » pour le serveur
BlackBerry 2FA
. Par exemple :conn <name> keyexchange=ikev2 rightauth=eap-radius rightsendcert=never eap_identity=%any auto=add
Paramètre | Description |
|---|---|
<name> | Il s'agit du nom unique de la nouvelle section de connexion. En règle générale, ce nom reflète certaines caractéristiques clés de la connexion (par exemple, IPSec-IKEv2-radius). |
keyexchange=ikev2 | Ce paramètre spécifie la méthode d'échange de clés (par exemple, IKEv1, IKEv2). Le serveur BlackBerry 2FA serveur n'utilise pas ce paramètre, mais vous devez l'inclure dans la section conn afin d'autoriser un échange de clés approprié avec les clients VPN. Vous devez vous assurer que les clients VPN qui se connectent au serveur strongSwan utilisent la même méthode d'échange de clés. |
rightauth=eap-radius | Ce paramètre indique que le serveur strongSwan doit utiliser EAP sur RADIUS afin d'authentifier les clients VPN pour ce type de connexion. |
rightsendcert=never | Ce paramètre indique que les certificats utilisateur ne sont pas utilisés pour l'authentification client. |
eap_identity=%any | Ce paramètre indique l'identité du client VPN à utiliser pour l'authentification. Le serveur BlackBerry 2FA n'utilise pas ce paramètre, mais vous devez l'inclure dans la section conn. La valeur « %any » indique au serveur strongSwan de transmettre l'identité fournie par le client VPN. |
auto=add | Ce paramètre indique que cette section de connexion est active. Le serveur BlackBerry 2FA n'utilise pas ce paramètre, mais vous devez l'inclure dans la section conn. |
Configuration du fichier eap-radius.conf
Le fichier eap-radius.conf se trouve dans le répertoire /etc/strongswan.d/charon. Il spécifie les détails pour l'authentification d'EAP auprès de RADIUS. Le fichier de configuration par défaut dispose de tous les paramètres que vous devez configurer, mais la plupart sont commentés et certains n'ont pas de valeur attribuée. Vous devez modifier les paramètres requis en supprimant le signe dièse (#) et en définissant leurs valeurs comme décrit dans le tableau suivant.
Paramètre | Description |
|---|---|
accounting=no | Ce paramètre empêche strongSwan d'envoyer des informations de comptabilité RADIUS au serveur BlackBerry 2FA . |
nas_identifier | Ce paramètre facultatif indique l'élément NAS-Identifier à inclure dans les messages RADIUS. Vous pouvez utiliser ce paramètre si plusieurs serveurs strongSwan utilisent le même serveur BlackBerry 2FA . |
port=1812 | Ce paramètre indique le port utilisé par le serveur BlackBerry 2FA pour recevoir les demandes RADIUS d'authentification. |
secret= <secret partagé> | Ce paramètre indique le secret partagé entre strongSwan et le serveur BlackBerry 2FA . Lorsque vous configurez la connectivité de serveur VPN dans le serveur BlackBerry 2FA , vous devez saisir le secret partagé RADIUS que vous indiquez ici. |
server= <adresse IP du serveur VPNAuth> | Ce paramètre spécifie l'adresse IP ou l'élément FQDN du serveur BlackBerry 2FA . |
ike_to_radius=1, 2, 311:1, 311:11, 311:25 | Ce paramètre spécifie la liste séparée par des virgules des nombres qui représentent la liste des attributs RADIUS que strongSwan doit transmettre au serveur BlackBerry 2FA .Les nombres séparés par le signe deux points représentent des attributs propres à un fournisseur. Le premier nombre identifie le fournisseur (par exemple, 311 est le nombre correspondant à Microsoft ), et le deuxième nombre identifie le type d'attribut.Ce paramètre est dans la section « forward » du fichier de configuration. |
radius_to_ike=311:26, 311:17, 311:16 | Ce paramètre spécifie la liste de nombres séparés par des virgules qui représentent la liste des attributs RADIUS que le serveur BlackBerry 2FA doit transférer à strongSwan.Les nombres séparés par le signe deux points représentent des attributs propres à un fournisseur. Le premier nombre identifie le fournisseur (par exemple, 311 est le nombre correspondant à Microsoft ), et le deuxième nombre identifie le type d'attribut.Ce paramètre est dans la section « forward » du fichier de configuration. |