Настройка ext-auth в strongSwan

В вике написано, что ext-auth предназначен не для аутентификации, а для авторизации, и никакие пароли ему не передаются.

Да я такое читал, думал, что не правильно понял. Спасибо. Ну и я так понимаю вариантов решения этой проблемы нет, кромуе как править исходники strongSwan? Там оновная проблема в том что остутствует challenge стадия. Т.е. аутентификация проходит успешно на radius и даже strongSwan получает Access-Accept но из-за отсутствия challenge получаем FAIL.

sending RADIUS Access-Request to server 'radiusServer'
received RADIUS Access-Accept from server 'radiusServer'
RADIUS authentication of '123' failed
initiating EAP_RADIUS method failed
generating IKE_AUTH response 2 [ EAP/FAIL ]

Сдается мне, надо копать сюда: https://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius#XAuth

Да нет, eap на том radius сервере не поддерживается, поэтому это работать не будет скорее всего. Народ англоговорящий советует использовать pam с pam-script. Попробую копнуть туда, хотя этот пам раньше всегда казался черной дырой.

А, я затупил.
Вообще я не понимаю, почему сван получает от радиуса Access-Accept, но предпочитает обидеться на неспособность радиуса к EAP вместо того, чтобы просто пустить клиента.
Ты бы, может, у авторов спросил?

Да я уже исходники его изучил, там просто они используют более универсальную конструкцию challenge которая позволяет вроде-как даже управлять паролями. Ну я уже свой pam модуль написал это несколько проще чем менять их исходники на несколько странном диалекте C++, собираюсь протестить сейчас. Вот пытаюсь понять , что они имеют ввиду

https://wiki.strongswan.org/projects/strongswan/wiki/XAuthPAM

To use that service, set the pam_service option above to ipsec.

т.е. как мне сказать strongswan использовать именно этот pam модуль?

кажется это

charon.plugins.xauth-pam.pam_service | login | PAM service to use for authentication.