"ibm-auth-api":{}

Online bearbeiten

In diesem Abschnitt wird die Verbindung zum Server IBM® Verify konfiguriert.

Format

"ibm-auth-api":{
        "client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
        "protocol":"https",
        "host":"xxxx.verify.ibm.com",
        "port":"443",
        "max-handles":"16"
    },

Werte:

"client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
Dieser Wert ist erforderlich. Ein Verify-API-Client muss für die Verwendung durch das IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules)-Modul erstellt werden.
"obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
Dieser Wert ist erforderlich. Der IBM Verify Client erhält bei seiner Erstellung ein Client-Secret (Passwort), das in dieser Konfigurationseinstellung festgelegt werden muss. Das „obf-client-secret“ ist das „client-secret“ in verschleierter Form. Verwenden Sie den /opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret Befehl, um den Wert „obf-client-secret“ zu generieren.
Hinweis: Dieser „obf-client-secret“ kann alternativ auch im Klartext angegeben werden, indem stattdessen die Option „client-secret“ verwendet wird. Beispiel:
"client-secret”:"xxxxxxxxxx"
"protocol":"https"

Dieser Wert ist optional; für den Wert wird standardmäßig "https" angenommen. Dieses Protokoll dient zur Kommunikation mit dem Verify Server. Jeder der beiden Werte, "http" oder "https", kann verwendet werden. Wenn HTTPS verwendet wird und die Datei /etc/pam_ibm_auth.pem vorhanden ist, werden das Verify-Serverzertifikat und der Servername validiert.

"host":"slick.verify.ibm.com"

Dieser Wert ist erforderlich. Es gibt den Verify Server an, den Sie verwenden.

"port":443

Dieser Wert ist optional; für den Wert wird standardmäßig 443 angenommen. Dieser Port ist der Port, auf dem der Verify Server auf Anfragen wartet.

"max-handles":16
Dieser Wert ist optional; für den Wert wird standardmäßig 16 angenommen. Verify Dieser Wert gibt die maximale Anzahl paralleler Verbindungen an, die der IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) Server zur Benutzerauthentifizierung herstellt.
"authd-port": 12

Dieser Wert wird nicht mehr unterstützt.

Hinweis: Um einen Proxy zu verwenden, muss die authd-port Funktion deaktiviert sein.
"proxy": "http://proxy.ibm.com:1080"
Dieser Wert ist optional; für den Wert wird standardmäßig angenommen, dass kein Proxy, sondern Direktverbindungen verwendet werden.
Legen Sie den Proxy für den Zugriff auf den Verify-Tenant fest. Der Wert ist ein Hostname oder eine IP-Adresse in der Schreibweise mit Trennzeichen. Eine numerische IPv6-Adresse muss in eckige Klammern, [], eingeschlossen werden. Um die Portnummer in dieser Zeichenfolge anzugeben, fügen Sie :[port] am Ende des Hostnamens ein. Der Port des Proxys ist standardmäßig port :1080. Die Proxy-Zeichenfolge kann mit dem Präfix [scheme]:// versehen werden, um anzugeben, welche Art von Proxy verwendet wird.
authd-portHinweis: Um einen Proxy zu verwenden, müssen Sie die Proxy-Einstellungen konfigurieren und die Option deaktivieren.
http://
HTTP-Proxy. Der Standardtyp, wenn kein Schema oder Proxy-Typ angegeben ist.
https://
HTTPS-Proxy. In 7.52.0 für OpenSSL, GnuTLS und NSS hinzugefügt.
socks4://
SOCKS4-Proxy.
socks4a://
SOCKS4a-Proxy. Der Proxy löst den URL-Hostnamen auf.
socks5://
SOCKS5-Proxy.
socks5h://
SOCKS5-Proxy. Der Proxy löst den URL-Hostnamen auf.
Wenn Sie für die Proxy-Zeichenfolge "" festlegen (eine leere Zeichenfolge), wird die Verwendung eines Proxys explizit inaktiviert, auch wenn hierfür eine Umgebungsvariable festgelegt ist.

Eine Proxy-Host-Zeichenfolge kann auch das Protokollschema http:// und einen eingebetteten Benutzer sowie ein Kennwort umfassen.

"proxytunnel":true
Dieser Wert ist optional; für den Wert wird standardmäßig "true" angenommen, wenn der Proxy aktiviert ist.

Setzen Sie das proxytunnel Argument auf true , damit Verify der Tenant-Vorgang über den Proxy „ HTTP “ geleitet wird. Die Verwendung eines Proxys unterscheidet sich von der Übertragung im Tunnelungsverfahren über den Proxy. Tunnelung bedeutet, dass eine HTTP-Anforderung CONNECT an den Proxy gesendet wird, in der der Proxy aufgefordert wird, die Verbindung zu einem fernen Host an einer bestimmten Portnummer herzustellen; der Datenverkehr erfolgt dann über den Proxy. Proxys verfügen über eine Zulassungsliste, in der die spezifischen Nummern der Ports aufgelistet sind, an die Anforderungen CONNECT gesendet werden können. In der Regel sind nur die Ports 80 und 443 zulässig.

"token-type": "Bearer"
Legt den Zugriffstoken-Typ „access-token“ fest.
„access-token“: "{token}"
Gibt das für den Mandanten zu verwendende Zugriffstoken an. Dies ist eine Alternative zur Verwendung der Optionen „client-id“ und „client-secret“, wenn das Zugriffstoken bereits bekannt ist.
„ca-path“: "{path-to-ca-file}"
Gibt eine Datei mit einer Liste der zulässigen Zertifizierungsstellen an, die das Zertifikat des Verify Mandantenservers signieren dürfen. Diese Textdatei enthält ein oder mehrere öffentliche Schlüsselzertifikate der Zertifizierungsstelle „ PEM “ im Format „ base64 “.
Standardmäßig wird die cacert.pem Datei verwendet, die sich im Verzeichnis für Konfigurationsdateien befindet.
"origin-user-agent": "IBM Verify"
Gibt den User-Agent an, der in der Anfrage zum Auslösen einer Push-Transaktion (Gerät) gesendet wird.
"Verbindungszeitlimit": 10
Gibt die maximale Dauer in Sekunden an, die die Verbindungsphase eines Vorgangs über die Verify Tenant-REST-API dauern darf. Diese Zeitüberschreitung beschränkt sich nur auf die Verbindungsphase. Nach dem Anschließen hat es keine Auswirkungen.
"timeout": 40
Gibt die maximale Dauer in Sekunden an, die einzelne REST-API-Vorgänge für Mandanten dauern dürfen.
„proxy-ca-path“: "{path-to-ca-file}"
Gibt eine Datei an, die eine Liste der zulässigen Zertifizierungsstellen enthält, die das Zertifikat des Proxy-Servers signieren dürfen. Diese Textdatei enthält ein oder mehrere öffentliche Schlüsselzertifikate der Zertifizierungsstelle „ PEM “ im Format „ base64 “.
Standardmäßig wird die cacert.pem Datei verwendet, die sich im Verzeichnis für Konfigurationsdateien befindet.
„crl-Datei“: "{path-to-crl-file}"
Definiert die CRL zur Validierung des Zertifikats des REST-API-Servers des Verify Mandanten.
Der Optionswert gibt eine Datei an, die eine Verkettung von CRLs (im Format „ PEM “) enthält, die bei der Zertifikatsvalidierung verwendet werden soll, die während des Austauschs von „ TLS “ mit dem Verify REST-API-Server des Mandanten stattfindet.
„proxy-crl-file“: "{path-to-crl-file}"
Legt die CRL zur Validierung des Zertifikats des Proxy-Servers fest (nicht des REST-API-Servers des Verify Ziel-Tenants).
Der Optionswert gibt eine Datei an, die eine Verkettung von CRLs (im Format „ PEM “) enthält, die bei der Zertifikatsvalidierung verwendet werden soll, die während des „ TLS “-Austauschs mit dem Proxy-Server stattfindet.

"ibm-authd":{}

Für den Prozess ibm_authd kann eine Tracedatei festgelegt werden.

"pam":{}

Für das Modul pam_ibm_auth.so kann eine Tracedatei festgelegt werden.

Andere Dateien

Die Datei /etc/pam_ibm_auth.pem kann so konfiguriert werden, dass sie die Verifizierung des Tenantzertifikats und die Überprüfung des Tenant-Hostnamens auf seine Gültigkeit in Bezug auf das Zertifikat, das vom Host bereitgestellt wird, ermöglicht. Diese Textdatei enthält ein oder mehrere PEM-CA-Zertifikate (Base64-Umsetzung der öffentlichen CA-Schlüssel für x509 ASN.1).