Graças ao ecdsa, encontrei várias soluções para o meu problema.
- Use a Contabilidade RADIUS sem autenticação RADIUS.
Se o plugin eap-radius estiver habilitado com a opção accounting = yes , strongSwan enviará a mensagem RADIUS para iniciar a contabilização, mesmo se o eap-radius não for usado no arquivo ipsec.conf. No meu caso, esta mensagem RADIUS é assim:
Acct-Status-Type = Start
Acct-Session-Id = 1434531934-1
NAS-Port-Type = Virtual
Service-Type = Framed-User
NAS-Port = 1
NAS-Port-Id = ios-ikev1-fakexauth
NAS-IP-Address = <nas_ip>
Called-Station-Id = <nas_ip>[4500]
Calling-Station-Id = <client_ip>[4500]
User-Name = "C=CH, O=strongSwan, [email protected]"
Framed-IP-Address = 172.20.1.1
NAS-Identifier = strongSwan
Eu posso obter o certificado CN da mensagem e é necessário fazer uma contabilidade adequada. Se eu quiser rejeitar o acesso para algum CN eu posso apenas rejeitar a mensagem RADIUS do stronSwan e a conexão ipsec será interrompida.
- Fazer a verificação de contabilidade e acesso no script updown em vez de usar o RADIUS.
Além disso, gostaria de usar o plugin strongSwan curl para acessar a lista de revogação de certificados. Mas eu encontrei falta de documentação sobre este plugin. Estou faltando alguma coisa?