"clients":[]

Online bearbeiten

Der Abschnitt ist ein Array, das Details zu jedem RADIUS-Client (NAS) enthält, der diesen RADIUS-Server verwendet.

Format

“clients”:[
  {
    “name”:”client1”,
    “client-id”:”xxx”,
    …
  },
  {
    “name”:”client2”,
    “client-id”:”xxx”,
    …
  },
  …
]

Werte

"name": " client1 "
Der Wert des Client-Eintrags. Dies muss für alle Kunden eindeutig sein.
„obf-secret“: "fgb3A1/rOkxW0ogmlJ5Ex23PMrn9/vDrb93YFMwJ/Jg="
Der verschleierte geheime Wert. Verwenden Sie dies als bevorzugte Alternative zur Option „Geheim“.

Um diesen Wert zu ermitteln, führen Sie auf Windows-Systemen den folgenden Befehl aus (zu finden unter C:\Program Files\IBM\IbmRadius\)

IbmRadius.exe -obf
        "the-client-secret"
Verwenden Sie den folgenden Befehl auf Systemen mit „ Linux “.
/opt/ibm/ibm_radius/ibm_radius_64 --obf
        "the-client-secret"
"voice-in-choice": false
Fügt die registrierte Sprach 2FA en des Benutzers zur Liste der „ 2FA “-Optionen hinzu, die dem Benutzer bei der Authentifizierung zur Verfügung stehen.
"verify-message": "Bestätigen Sie diese Anfrage von client1?"
Die Nachricht, die an das Gerät gesendet wird, das für die „ 2FA “-Genehmigung verwendet wird, um den Benutzer aufzufordern. Standardmäßig lautet die gesendete Nachricht"Do you approve this request from {name} ?"wobei {name} der "name":"client" Wert ist.
"user-name-attr": "userName"
Ordnet den an RADIUS übermittelten Benutzernamen einem IBM® Verify Benutzer zu, indem ein Attribut abgeglichen wird, das in den Verify Benutzerdaten enthalten ist. otherUserNameBeispielsweise könnte der RADIUS-Benutzername einem benutzerdefinierten Attribut namens „I“Verify hinzugefügt werden. Dieses benutzerdefinierte Attribut gibt an,
"user-name-attr": "urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName"
Standardmäßig wird das Benutzerattribut „ "userName" “ verwendet, um den Verify Benutzer zu ermitteln, der dem RADIUS-Benutzernamen entspricht.
"ignore-isvalidated": false

Wenn dieser Wert auf „true“ gesetzt ist, kann der RADIUS-Client „ 2FA “-Methoden verwenden, die nicht validiert wurden.

"use-first-device": false
"password-and-device"Wenn diese "auth-method" Option auf „true“ gesetzt ist und ist, verwendet der RADIUS-Client das erste Gerät, das für den Benutzer aufgeführt ist, auch wenn der Benutzer mehrere Geräte unter 2FA hat.
"Eingabeaufforderungen": {}
Dieser Konfigurationsblock dient zur Anpassung der Auswahlaufforderung „ 2FA “. Dieser Konfigurationsblock kann folgende Einträge enthalten:
„choice-start“: "{prompt}"
Die Zeichenfolge „ {prompt} “ wird unmittelbar vor der Liste der Auswahlmöglichkeiten unter „ 2FA “ ausgegeben.
„choice-end“: "{prompt}"
Die Zeichenfolge „ {prompt} “ wird unmittelbar nach der Liste der Auswahlmöglichkeiten unter „ 2FA “ ausgegeben. Jeder %T Wert innerhalb dieser Klammer {prompt} wird durch eine Zahl ersetzt, die die Gesamtzahl der Auswahlmöglichkeiten angibt.
„trans-email“: "{prompt}"
„trans-sms“: "{prompt}"
„totp“: "{prompt}"
„E-Mail“: "{prompt}"
„SMS“: "{prompt}"
„Stimme“: "{prompt}"
„device-presence“: "{prompt}"
„device-biometric“: "{prompt}"
Diese Argumente passen die Eingabeaufforderung für jeden „ 2FA “-Typ individuell an. Es können folgende Ersetzungen vorgenommen werden:
  • %I Der Index der Option „ 2FA “
  • %N Der Wert, der dem Namen der Option „ 2FA “ zugeordnet ist (z. B. eine E-Mail-Adresse)
  • %T Die Gesamtzahl der Auswahlmöglichkeiten
Wenn die prompts Konfiguration beispielsweise wie folgt lautet:
"prompts": {
    "choice-start": "Choose one of:\n",
    "email": "%I) %D\n",
    "sms": "%I) %D\n",
    "totp": "%I) TOTP\n",
    "choice-end": "Your choice (1->%T) "
},
Dann könnten die daraus resultierenden Optionen unter „ 2FA “ etwa so aussehen
Choose one of:
1) us**@us.ibm.com
2) #######4567
3) TOTP
Your choice (1->3)
"secret":"passw0rd"

Dieser Wert ist erforderlich. Dieses Kennwort ist der geheime Schlüssel für gemeinsame Nutzung zwischen dem IBM RADIUS-Server und dem RADIUS-Client (NAS). Der Wert dient zur Verschlüsselung von Kennwörtern und zum Signieren von Antwortpaketen zwischen dem Server und dem Client.

Hinweis: Dieser Schlüssel kann in verschleierter Form festgelegt werden. Verwenden Sie den IbmRadius.exe -obf <password> Befehl, um die verschleierte Version zu erstellen, und nutzen Sie die alternative Einstellung:
“obf-client-secret”:”KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=”,
.
"address":"192.168.0.129"

Dieser Wert ist erforderlich. Dies ist die IP-Adresse, von der Pakete vom RADIUS-Client (NAS) kommen und an die die Antworten zurückgegeben werden. Die Adresse dient zum Zuordnen des RADIUS-Clients (NAS) zu dem entsprechenden Wert des geheimen Schlüssels.

"mask": "255.255.255.255"
Dieser Wert ist optional; für den Wert wird standardmäßig "255.255.255.255" angenommen. Diese Einstellung ist eine Netzmaske, die zusammen mit der Konfigurationseinstellung "address" verwendet wird, um einen Client für eingehende Anforderungen einem RADIUS-Client zuzuordnen. Eine Maske von "255.255.255.255" bedeutet, dass ein ankommender Client genau dieselbe IP-Adresse wie die "address" haben muss, um als Übereinstimmung zu gelten. Die Maske "0.0.0.0" gibt an, dass jeder Client für eingehende Anforderungen diesem Client zugeordnet werden kann. Die Maske "255.255.0.0" ordnet Clients für eingehende Anforderungen zu, deren erste zwei IP-Adressoktetts mit den ersten zwei IP-Adressoktetts in "address" übereinstimmten. Wenn mehrere übereinstimmende Clients vorhanden sind, wird die Übereinstimmung mit der "spezifischeren" Maske ausgewählt. Angenommen, es sind die folgenden zwei Clients vorhanden:
Client1 address: 192.168.0.0, mask: 255.255.255.0

Client2 address: 192.168.0.1, mask: 255.255.255.255
  • Wenn die Adresse des Clients für eingehende Anforderungen 192.168.0.1 lautet, wäre eine Übereinstimmung mit Client2 vorhanden.
  • Wenn die Adresse des Clients für eingehende Anforderungen 192.168.0.2 lautet, wäre eine Übereinstimmung mit Client1 vorhanden.
  • Wenn die Adresse des Clients für eingehende Anforderungen 192.168.1.1 lautet, wäre keine Übereinstimmung mit einem der Clients vorhanden.
"auth-method":"password-then-smsotp"

Dieser Wert ist optional; für den Wert wird standardmäßig “password” angenommen. Diese Methode ist die Authentifizierungsmethode, die für die Authentifizierung von Benutzern erforderlich ist. Zulässige Werte sind:

Tabelle 1. Zulässige Werte
Wert Beschreibung
device Es wird nur der Betrieb eines Geräts 2FA überprüft. Der Passwortwert wird ignoriert. Ansonsten verhält sich diese Authentifizierungsmethode genauso wie die Methode „Passwort und Gerät “.
Kennwort Es ist nur ein gültiges Kennwort erforderlich.
password-and-totp Ein Kennwort und ein TOTP-Wert müssen in einem Einzelwert angegeben werden. Sie können konfigurieren, ob das Kennwort oder der TOTP-Wert die erste Angabe in dem Wert ist. Siehe die Einstellung password-first. Informationen zur Konfiguration des Zeichens, mit dem die beiden Werte voneinander getrennt werden, finden Sie unter der Einstellung password-separator.
password-then-totp Nach der Angabe eines gültigen Kennworts wird eine nachfolgende RADIUS-Abfrage zum Anfordern des TOTP-Werts gesendet.
password-then-smsotp Nach der Angabe eines gültigen Kennworts wird eine SMS-Nachricht mit einem OTP-Wert an das registrierte mobile Gerät des Benutzers gesendet. Anschließend wird eine RADIUS-Abfrage zum Anfordern des SMS-OTP-Werts gesendet.
password-then-emailotp Nach der Angabe eines gültigen Kennworts wird eine E-Mail-Nachricht mit einem OTP-Wert an den Benutzer gesendet. Anschließend wird eine RADIUS-Abfrage zum Anfordern des E-Mail-OTP-Werts gesendet.
password-then-transsmsotp Nach der Angabe eines gültigen Kennworts wird eine SMS-Nachricht mit einem OTP-Wert an die im Profil des Benutzers angegebene Telefonnummer gesendet. Anschließend wird eine RADIUS-Abfrage zum Anfordern des OTP-Werts gesendet. Im Gegensatz zu password-then-smsotp muss die Telefonnummer des Benutzers nicht für SMS-OTP registriert sein.
password-then-transemailotp Nach der Angabe eines gültigen Kennworts wird eine E-Mail-Nachricht mit einem OTP-Wert an die im Profil des Benutzers angegebene E-Mail-Adresse gesendet. Anschließend wird eine RADIUS-Abfrage zum Anfordern des OTP-Werts gesendet. Im Gegensatz zu password-then-emailotp muss die E-Mail-Adresse des Benutzers nicht für E-Mail-OTP registriert sein.
password-then-choice-then-otp

Nach der Angabe eines gültigen Kennworts wird eine RADIUS-Abfrage zum Anfordern der zu verwendenden Auswahl für eine der OTP-Registrierungen des Benutzers gesendet. Nach dem Senden der Auswahl wird eine RADIUS-Abfrage zum Anfordern des OTP-Werts für die Auswahl gesendet.

Hinweis:

Wenn der Benutzer nur für eine einzige OTP-Methode registriert ist, wird der Schritt zur Abfrage der Auswahl übersprungen und die Abfrage des OTP-Werts direkt an den Benutzer gesendet.

Wenn der Benutzer über keine OTP-Registrierungen verfügt, wird "reject-on-missing-auth-method" wirksam.
password-and-device Nach der Angabe eines gültigen Kennworts wird eine RADIUS-Abfrage zum Anfordern der zu verwendenden Auswahl für eine der gültigen registrierten Geräte des Benutzers gesendet.

Nach dem Senden der Auswahl des Geräts wird eine RADIUS-Abfrage gesendet, die dem Authentifizierungsverfahren mit der höchsten Priorität entspricht, das von dem Gerät unterstützt wird.

Hinweis:
  • Authentifizierungsverfahren wie Gesichtserkennung, Fingerabdruck oder Benutzeranwesenheit sind vom Administrator konfigurierbar. Wenn mehrere Verfahren aktiviert sind, werden sie nach Priorität bearbeitet. Es wird immer das Verfahren mit der höchsten Priorität ausgewählt, das von dem ausgewählten Gerät unterstützt wird.
  • Damit ein registriertes Gerät gültig ist, muss es mindestens ein gültiges vom Administrator konfiguriertes Authentifizierungsverfahren unterstützen.
  • Wenn nur ein einziges registriertes Gerät vorhanden ist, das die gültigen Verfahren unterstützt, wird der Schritt zur Auswahl des Geräts übersprungen. Es wird eine Abfrage des Verfahrens mit der höchsten Priorität für dieses Gerät an den Benutzer gesendet.
  • Wenn keine registrierten Geräte vorhanden sind, die die gültigen Verfahren unterstützen, wird eine REJECT-Antwort ausgegeben.
Passwort und TOTP oder Gerät

Wird im vom Benutzer eingegebenen Passwort ein TOTP-Wert erkannt, wird die der Methode „password-and-totp“ entsprechende Vorgehensweise angewendet. Weitere Informationen finden Sie unter „password-and-totp “.

Wird im vom Benutzer eingegebenen Passwort kein TOTP-Wert erkannt, wird die der Methode „Passwort und Gerät“ entsprechende Vorgehensweise angewendet. Weitere Informationen finden Sie unter „Passwort und Gerät “.

Hinweis: Wenn das Passwort des Benutzers mit sechs Ziffern und einem Trennzeichen beginnt oder endet, kann es vom RADIUS-Server fälschlicherweise als eingebetteter TOTP-Wert interpretiert werden. Beispielsweise ist die Option „Passwort zuerst“ auf „false“ gesetzt, und das Passwort beginnt mit den sechs Ziffern und dem Trennzeichen. Ebenso tritt dieselbe Bedingung ein, wenn der Wert auf „true“ gesetzt ist und das Passwort mit einem Trennzeichen und sechs Ziffern endet. In beiden Fällen kann ein Geräte-Push nicht als zweiter Faktor für die RADIUS-Authentifizierung verwendet werden. Der RADIUS-Server interpretiert ihn als TOTP-Wert und versucht, ihn zu validieren. Die Validierung schlägt fehl und die Authentifizierung wird abgelehnt.
totp Es wird davon ausgegangen, dass es sich bei dem Passwort ausschließlich um einen TOTP-Wert (Time-based One-Time Password) handelt, und es wird nur der TOTP- 2FA -Wert überprüft. Es findet keine Überprüfung der „ 1FA “-Einstellung statt.
"password-first":false
Dieser Wert ist optional; für den Wert wird standardmäßig false angenommen. Mit dieser Einstellung wird gesteuert, ob das Kennwort der erste Wert in der Verknüpfung "Kennwort-Trennzeichen-OTP" ist, der vom Benutzer für die Authentifizierungsmethode "password-and-totp" übergeben wird.

1234Beispielsweise lautet der OTP-Wert, das Passwort des Benutzers ist Passwordund das Trennzeichen ist :. Wenn "password-first" auf "false" gesetzt ist, gibt der Benutzer "1234:Kennwort" ein. Wenn "password-first" auf "true" gesetzt ist, gibt der Benutzer "Kennwort:1234" ein.

Das Trennzeichen kann über die Einstellung "password-separator" konfiguriert werden.

"password-separator":":"
Dieser Wert ist optional; für den Wert wird standardmäßig : angenommen. Mit dieser Einstellung wird das Zeichen konfiguriert, mit dem die Kennwort- und OTP-Werte, die vom Benutzer für die Authentifizierungsmethode (auth-method) "password-and-totp" übergeben werden.
"no-devices-in-choice":true
Dieser Wert ist optional; für den Wert wird standardmäßig false angenommen. Wenn dieser Wert auf true gesetzt ist, werden die IBM Verify-Geräte des Benutzers nicht als Auswahlmöglichkeiten für die Authentifizierungsmethode angezeigt.
"reject-on-missing-auth-method":false
Dieser Wert ist optional; für den Wert wird standardmäßig true angenommen. Wenn der Wert auf false gesetzt ist und der Benutzer nicht für die Zwei-Faktor-Authentifizierung mit OTP registriert ist, wird der Benutzer nicht zur Eingabe des Kennworts für einmaliges Anmelden (OTP) aufgefordert und er wird erfolgreich authentifiziert. Wenn der Wert auf true gesetzt ist und der Benutzer nicht für die Zwei-Faktor-Authentifizierung mit OTP registriert ist, wird der Benutzer nicht authentifiziert.
"otp-prompt":"Enter OTP %C:"
Dieser Wert ist optional; für den Wert wird standardmäßig die englische Zeichenfolge "Enter OTP %C:" angenommen. Diese Zeichenfolge wird im RADIUS-Abfragepaket zurückgegeben und in die Variable "Reply-Message" (18) des RADIUS-Antwortpakets gestellt. Diese Zeichenfolge wird von vielen RADIUS-Clients (NAS) angezeigt, wenn die Eingabe vom Benutzer angefordert wird. Jedes %C in der Eingabeaufforderung wird durch die OTP-Korrelation oder für TOTP durch die leere Zeichenfolge ersetzt. Jede Angabe von %% in der Eingabeaufforderung wird durch ein einziges % ersetzt.
"user-name-append": "Verify@Realm"

Dieser Wert ist optional; für den Wert wird standardmäßig die leere Zeichenfolge ("") angenommen. Der Wert wird an den Benutzernamen angefügt, der der RADIUS-Anmeldung zur Verfügung gestellt wird. Der Wert wird mit dem Benutzernamen verwendet, um den Benutzer in Cloud Directory zu lokalisieren. Wenn beispielsweise der RADIUS-Benutzer "scott" und "user-name-append": "@VerifyRealm" angegeben wurden, lokalisiert der Server "scott@VerifyRealm" in der Benutzerregistry.

"use-local-pwd-check":false
Dieser Wert ist bei der Ausführung auf Systemen mit „ Linux “ nicht verfügbar. Dies ist optional und die Standardeinstellung lautet false. Wenn dieser Wert auf true gesetzt ist, werden Kennwörter mit der lokalen Datenbank mit Benutzerinformationen des Servers und nicht mit dem Cloudverzeichnis authentifiziert.
Hinweis: Die Benutzernamen in der lokalen Kontodatenbank und im Cloud-Verzeichnis müssen übereinstimmen. Diese Option kann nicht zusammen mit use-external-ldap verwendet werden.
"local-domain":"."
Dieser Wert ist bei der Ausführung auf Systemen mit „ Linux “ nicht verfügbar. Sie wird nur verwendet, wenn use-local-pwd-check ist true , und wirkt sich auf die lokale Windows-Passwortauthentifizierung aus. Wenn sich ein Benutzer bei RADIUS mit einem Benutzernamen anmeldet, der keinen Wert für eine Windows-Domäne enthält, validiert der RADIUS-Server den Benutzer anhand des Windows-Kontos mit der Angabe "." für die Domäne. Wenn die Domäne auf „.“ gesetzt ist, Das Passwort des Kontos wird ausschließlich anhand der lokalen Kontodatenbank überprüft. Diese Option erlaubt die Verwendung des „.“ durch die Angabe eines Windows-Domänennamens oder des leeren Zeichenfolgenwerts „“ überschrieben werden.
Hinweis:
  • Für einen RADIUS-Benutzernamen wird davon ausgegangen, dass eine Domäne angegeben ist, wenn der Name das Zeichen "\" oder "@" enthält. Beispiel: mydomain\testuser oder testuser@mydomain.com.
  • Der RADIUS-Server verwendet die Windows-Funktion LogonUserA() für weitere Details zu dem Domänenwert. Siehe LogonUserA function (winbase.h) - Win32-Apps.
"use-external-ldap":false
Dieser Wert ist optional; für den Wert wird standardmäßig false angenommen. Benutzer werden mithilfe einer konfigurierten Identitätsquelle des Typs 'LDAP-Durchgriff' authentifiziert. Wenn dieser Wert auf true gesetzt ist, muss der Wert "identity-source" angegeben werden. Diese Option kann nicht zusammen mit use-local-pwd-check verwendet werden.
"identity-source":"869e5652-bbb1-4f9b-8e55-0ae53d3bc30b"
Dieser Wert ist nur erforderlich, wenn "use-external-ldap" auf true gesetzt ist; andernfalls ist er optional. Er gibt die Identitätsquelle an, die für die Authentifizierung von Benutzern verwendet werden soll. https://<tenant>/verify/v1.0/authnmethods/password Eine Sammlung konfigurierter Identitätsquellen und deren IDs kann über eine GET-Anfrage an abgerufen werden.
"choice-prompt":"Wählen Sie eine Authentifizierungsmethode aus der Liste aus: \r\n"
Dieser Wert ist optional. Standardmäßig wird die leere Zeichenfolge "" angenommen. Über diesen Wert kann ein Präfix für die Eingabeaufforderungen für die Auswahlzeilen (choice-line-prompt) konfiguriert werden. Die Eingabeaufforderungen für die Auswahlzeilen und die zugehörigen Präfixe werden angezeigt, wenn der Benutzer eine Authentifizierungsmethode auswählen muss.
"choice-line-prompt":"Geben Sie %I für %D ein. \r\n"
Dieser Wert ist optional. Über ihn kann jede Auswahl in der Eingabeaufforderung für die Auswahl (choice-prompt) angepasst werden. Eine Eingabeaufforderung für die Auswahl wird für jede Auswahl generiert, die für den Benutzer verfügbar ist. "%I) %D\r\n"Standardmäßig lautet die Eingabe, wobei %I durch das Zeichen ersetzt wird, das die Auswahl auslöst, und %D die Beschreibung der Auswahl ist.
"device-prompt":"Eine Push-Benachrichtigung wurde an Ihr Gerät [%D] gesendet. "
Dieser Wert ist optional. Dadurch lässt sich die device/fingerprint/userpresence Eingabeaufforderung anpassen. Standardmäßig lautet "A push notification has been sent to your device [%D]. Please refresh your IBM Verify application if you did not receive it." dies, wobei %D durch die Gerätebezeichnung ersetzt wird.
"device-choice-prompt": "\r\nSie haben mehrere Authentifikatoren; wählen Sie einen aus, indem Sie eine Zahl eingeben:"
Wenn die Funktion “auth-method” von “password-and-device” verwendet wird, kann es sein, dass der Benutzer mehrere Geräte registriert hat. Der RADIUS-Server fordert den Benutzer auf, das zu verwendende Gerät auszuwählen. Diese Auswahl ist das Präfix für die Liste der Auswahlmöglichkeiten. Standardmäßig wird die englische Meldung angezeigt:"\r\nYou have multiple authenticators, please choose one by entering a number:"
Hinweis: Einige RADIUS-Clients können die Zeichen \r\n für Zeilenumbruch und Zeilenvorschub nicht verarbeiten. Sollte der Client nicht korrekt reagieren, versuchen Sie es erneut, ohne diese Zeichen in der Formatkonfiguration zu verwenden.
"device-choice-line-prompt":"\r\n%I/%T: %D"
In einer Eingabeaufforderung mit einer Auswahl von Geräten definiert dieser Parameter das Format für jede Geräteauswahl. Der Standardwert ist die folgende Nachricht: "\r\n%I/%T: %D"
Wo
  • %I - wird durch den Index des Geräts ersetzt, den der Benutzer eingeben muss, um das Gerät auszuwählen.
  • %T - wird durch die Gesamtzahl der Geräteauswahlmöglichkeiten ersetzt.
  • %D - wird durch die Benutzergerätebeschreibung ersetzt.
Hinweis: Einige RADIUS-Clients können die Zeichen \r\n für Zeilenumbruch und Zeilenvorschub nicht verarbeiten. Sollte der Client nicht korrekt reagieren, versuchen Sie es erneut, ohne diese Zeichen in der Formatkonfiguration zu verwenden.
"transients-in-choice":false
Wenn die Konfigurationszeile "transients-in-choice" auf "true" gesetzt ist, werden die OTP-Authentifizierungsauswahlmöglichkeiten, die in "transient-choices" auf der Basis der Attribute des Cloudverzeichnisprofils eines Benutzers aufgelistet sind, unabhängig davon, ob die Benutzer für den Empfang von SMS- oder E-Mail-OTPs registriert sind, als OTP-Authentifizierungsauswahlmöglichkeiten eingeschlossen.
"transient-choices": ["emails", "phoneNumbers"]
Dieser Wert ist optional. Für den Wert ihn wird standardmäßig ["emails","phoneNumbers"] angenommen. Mit dieser Einstellung wird gesteuert, welche transienten OTP-Authentifizierungsauswahlmöglichkeiten für Benutzer verfügbar sind.
"no-enrollments-in-choice":false
Dieser Wert ist optional. Für den Wert ihn wird standardmäßig false angenommen. Wenn die Konfigurationszeile "no-enrollments-in-choice" auf "true" gesetzt ist, werden die registrierten OTP-Methoden des Benutzers, die TOTP, E-Mail und SMS umfassen, nicht als Authentifizierungsauswahlmöglichkeiten eingeschlossen.
"poll-device":false
Dieser Wert ist optional. Für den Wert ihn wird standardmäßig false angenommen. trueWenn diese Option aktiviert ist, fragt Verify der Server den Status einer Überprüfung ab, anstatt den Benutzer dazu aufzufordern und auf dessen Antwort zu warten.
"poll-timeout":"60"
Dieser Wert ist optional. Für den Wert ihn wird standardmäßig 60 angenommen. Dieses Attribut legt die maximale Anzahl von Sekunden fest, die der Server nach der Erstellung einer Geräteüberprüfung abfragt Verify . Diese Angabe hat keine Auswirkungen, wenn "poll-device" auf false gesetzt ist.
"poll-delay":"2"
Mit dieser Option wird die Verzögerung zwischen jeder Abfrage in Sekunden festgelegt. Der RADIUS-Server führt Verify regelmäßig Abfragen durch, um zu entscheiden, ob die Authentifizierung des Benutzers auf dem Gerät akzeptiert oder abgelehnt wird. Gemäß der Standardeinstellung erfolgt die Abfrage alle 2 Sekunden. Der Wert wird ignoriert, es sei denn, er ist >= 1 and < (“poll-timeout” / 2)
„auth-method-order“: [ „fingerprint“, „ "userPresence" “ ]
Legt die PUSH-Methoden des Geräts und deren Reihenfolge fest.
"id-link-attr": "userName"
Wenn im Mandanten mehrere Identitätsquellen definiert sind und diese die Identitätsverknüpfung nutzen, legt dieses Konfigurationselement den Namen eines Attributs des Benutzers fest, das über „user-name-attr“ ermittelt wird und den Benutzernamen angibt, anhand dessen das Passwort überprüft werden soll. Hier sind einige Beispiele für Werte:
  • "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
  • "emails.work"
  • "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
  • "userName"
"user-name-table": [ {{ "from": "{radius-user-name} ", "to": "{isv-user-name}" },... ]
Stellt ein Array von Zuordnungen vom vom Radius-Client bereitgestellten Benutzernamen zum Verify Benutzernamen bereit.
"use-mapping-user-id": false
Wenn „id-link-attr“ gesetzt ist und diese Option auf „true“ gesetzt ist, werden die MFA-Einstellungen des Benutzers verwendet, der über „user-name-attr“ ermittelt wird, anstatt derjenigen, die für die Authentifizierung verwendet werden, auf die „id-link-attr“ verweist.
"require-msg-auth": false
RADIUS-Server der Versions 1.0.11.0 und höher überprüfen stets die Signatur des Attributs „Message-Authenticator“, sofern dieses vorhanden ist. Sie fügen den Antworten stets eine Signatur im „Message-Authenticator“-Attribut hinzu. Das Attribut „Message-Authenticator“ ist in RFC 3579, Abschnitt „ 3.2 “, festgelegt. trueWenn diese Option aktiviert ist, muss das Attribut „Message-Authenticator“ in den Access-Request-Paketen vorhanden und gültig sein, damit der RADIUS-Server die Anfrage bearbeiten kann.
"reject-bad-packet": false
Standardmäßig ignoriert der RADIUS-Server fehlerhaft formatierte oder falsch signierte Anfragen. trueWenn diese Option auf gesetzt ist, antwortet der RADIUS-Server mit einer „Access-Reject“-Antwort.