Запрос пароля EAP в strongSwan

Я пытаюсь настроить конфигурацию хост-хост с помощью strongSwan. Мне удалось настроить его с помощью сертификатов, и теперь я хочу настроить его с помощью сертификатов + аутентификации EAP.

Я смешал эта конфигурация с моей предыдущей конфигурацией сертификата и успешно подключился. Однако эта конфигурация требует, чтобы клиент сохранял пароль локально. Должен сказать, что не понимаю, зачем мне использовать пароль вместо сертификата, если он все равно сохраняется локально. Я хочу использовать двухфакторную аутентификацию - клиенты без действующего сертификата не должны иметь возможность аутентифицироваться, даже если они знают пароль, а клиенты с действующим сертификатом должны получать запрос пароля при попытке подключения. Если я правильно понимаю, у меня есть следующие варианты:

1. Используйте NetworkManager, который может запрашивать пароль
2. Использовать md5-id-prompt

Я не хочу быть привязанным к NetworkManager, если мне не нужно. Второй вариант не сработал как ipsec stroke команда на моей машине не имеет user-creds подкоманда. Возможно, это связано с тем, что я использую strongSwan 4.x. Даже если это сработало, есть две основные проблемы:

1. Пароль необходимо вводить в командной строке вместо интерактивного запроса ipsec, что является плохой практикой безопасности.
2. Если я правильно понимаю, после ввода пароля демон ipsec будет помнить его до перезапуска, а не запрашивать его при каждом подключении.

Есть ли способ достичь моей цели без использования NetworkManager?