Konfigurieren des IBM Verify Gateway for RADIUS Servers

Online bearbeiten

In diesem Dokument wird erläutert, wie man das „ IBM® Verify “-Gateway für RADIUS einrichtet.

Vorgehensweise

  1. Erstellen Sie Berechtigungsnachweise für den API-Client.
    1. Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.
    2. Klicken Sie auf „Konfiguration“ > „API-Zugriff “ > „API-Client hinzufügen “.
    3. Geben Sie einen Namen für den Client an.
      Zum Beispiel Gateway. IBM Verify
    4. Wählen Sie die Kontrollkästchen aus, um die folgenden Zugriffsberechtigungen zu erteilen.
      • Beliebigen Benutzer authentifizieren
      • Zwei-Faktor-Authentifizierungsregistrierung für alle Benutzer lesen
      • Benutzer und Gruppen lesen
    5. Klicken Sie auf „Speichern “.
    6. Suchen Sie Ihren API-Client in der Liste und bewegen Sie den Mauszeiger an das Ende der Zeile, um das Bearbeitungssymbol anzuzeigen.
    7. Klicken Sie auf das Bearbeitungssymbol.
      Die API-Clientinformationen werden angezeigt.
    8. Kopieren Sie die Client-ID und den geheimen Schlüssel in die Zwischenablage oder klicken Sie auf das Symbol mit dem Auge, um den geheimen Schlüssel anzuzeigen und die Informationen zu speichern.
      Diese Informationen benötigen Sie, wenn Sie die IbmRadius Konfigurationsdatei bearbeiten.
    9. Klicken Sie auf „Abbrechen “.
      Es sind keine Änderungen erforderlich.
    Weitere Informationen finden Sie unter „API-Clients erstellen “.
  2. Erstellen Sie Benutzer.
    1. Erstellen Sie über die IBM Verify Verwaltungskonsole Benutzer für den Verify Gateway for RADIUS Server.
      Siehe „Benutzer verwalten “.
      Für jeden Benutzer, der eine Zwei-Faktor-Authentifizierung benötigt, müssen Sie ihn über die entsprechenden Registrierungs-APIs in Verify[...]. für OTP-Verfahren wie TOTP, EmailOTP, oder SMSOTP registrieren.
      Hinweis: Das RADIUS-Server-Produkt „ IBM “ bietet keine Funktion zur Registrierung von Benutzern für OTP.
  3. Bearbeiten Sie die IbmRadius Konfigurationsdatei.
    Die IbmRadiusConfig.json Datei liegt im JSON-Format vor, weist jedoch eine nicht standardmäßige Änderung auf. */Sie können Abschnitte der Datei auskommentieren, indem Sie sie zwischen /* und einfügen.

    Das JSON-Format finden Sie unter https://www.json.org/.

    1. Bearbeiten Sie die JSON-Datei mit Ihrem bevorzugten Texteditor.
      Für Windows™-Systeme C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      Für „ Linux® “-Systeme /etc/IbmRadiusConfig.json

      Ersetzen Sie in diesem kurzen Beispiel die Vari ablenwerte durch die Client-ID und den Client-Secret, die unter 1.h ermittelt wurden, und passen Sie den Hostnamen des IBM Verify verwendeten Servers sowie die Client-IP des Verify Gateway for RADIUS zu verwendenden Clients an.

      Passen Sie die Client-Adresse an die Adresse Ihres Verify Gateway for RADIUS Clients (NAS) an, beispielsweise an die eines VPN-Servers oder eines PAM-RADIUS-Moduls. Der RADIUS-Client muss mit dem Wert für den Client-Secret konfiguriert werden, den Sie in dieser Datei festgelegt haben.

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. Bearbeiten Sie den Abschnitt der höchsten Ebene, {}.
      Darin sind die Verify Gateway for RADIUS globalen Einstellungen enthalten. Siehe oberste Ebene {}.
    3. Bearbeiten Sie den Abschnitt "ibm-auth-api": {}.
      Es enthält die Verbindungsdaten zum Server IBM Verify . Siehe „ibm-auth-api“:{}.
    4. Bearbeiten Sie den Abschnitt "clients": [].
      Es enthält die Verbindungsdaten zum Server IBM Verify . Siehe „clients“:[].
    5. Bearbeiten Sie den Abschnitt "policy":[].
      Er ist ein Array der Richtlinien, mit denen Attribute bedingt hinzugefügt oder Berechtigungsanforderungen akzeptiert oder genehmigt werden können. Siehe „Richtlinie“:[].