Configuración del IBM Verify Gateway for RADIUS servidor

Editar en línea

En este documento se explica cómo configurar la pasarela de IBM® Verify para RADIUS.

Procedimiento

  1. Cree credenciales de cliente de API.
    1. Inicie sesión en la IBM Verify consola de administración como administrador.
    2. Haz clic en «Configuración» > «Acceso a la API » > «Añadir cliente de API ».
    3. Proporcione un nombre para el cliente.
      Por ejemplo, IBM Verify Gateway.
    4. Seleccione las casillas para otorgar los derechos de acceso siguientes.
      • Autenticar cualquier usuario
      • Leer suscripción con autenticación de segundo factor para todos los usuarios
      • Leer usuarios y grupos
    5. Haz clic en «Guardar ».
    6. Busca tu cliente API en la lista y pasa el cursor por el final de la fila para que aparezca el icono de edición.
    7. Pulse el icono de edición.
      Se visualiza la información del cliente de API.
    8. Copie el ID de cliente y el Secreto en el portapapeles o pulse en el icono de ojo para ver el secreto y guardar la información.
      Necesitarás esta información cuando edites el IbmRadius archivo de configuración.
    9. Haz clic en «Cancelar ».
      No es necesario realizar cambios.
    Para obtener más información, consulta «Creación de clientes de API ».
  2. Cree usuarios.
    1. Utiliza la IBM Verify consola de administración para crear usuarios para el Verify Gateway for RADIUS servidor.
      Consulte «Gestión de usuarios ».
      Para cada usuario que requiera autenticación de dos factores, debes registrarlo para recibir códigos OTP (como TOTP, EmailOTP, o SMSOTP) a través de las API de registro correspondientes en Verify.
      Nota: El producto de servidor RADIUS « IBM » no ofrece ninguna función para registrar usuarios en el sistema OTP.
  3. Edita el IbmRadius archivo de configuración.
    El IbmRadiusConfig.json archivo está en formato JSON con una modificación no estándar. Puedes comentar partes del archivo colocándolas entre /* y */.

    Consulte https://www.json.org/ para ver el JSON.

    1. Edita el archivo JSON con tu editor de texto favorito.
      Para sistemas Windows™ C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      Para sistemas « Linux® » /etc/IbmRadiusConfig.json

      En este breve ejemplo, sustituya los valores de las variables por el ID de cliente y el secreto de cliente que se indican en 1.h y actualice el nombre de host IBM Verify del servidor que se está utilizando y la IP del Verify Gateway for RADIUS cliente que se va a utilizar.

      Actualiza la dirección del cliente para que coincida con la dirección de tu Verify Gateway for RADIUS cliente (NAS), como un servidor VPN o un módulo PAM RADIUS. El cliente RADIUS debe configurarse con el valor del secreto de cliente que hayas establecido en este archivo.

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. Edite la sección {} de la parte superior.
      Es el archivo que contiene la Verify Gateway for RADIUS configuración global. Véase el nivel superior {}.
    3. Edite la sección "ibm-auth-api": {}.
      IBM Verify Contiene los datos de conexión al servidor. Véase «ibm-auth-api»:{}.
    4. Edite la sección "clients": [].
      IBM Verify Contiene los datos de conexión al servidor. Véase «clientes»:[].
    5. Edite la sección "policy":[].
      Es una matriz de políticas que puede añadir atributos condicionalmente, o aceptar o probar solicitudes de autorización. Véase «política»:[].