"clients":[]
Cette section est un tableau contenant des détails sur chaque client RADIUS (NAS) utilisant ce serveur RADIUS.
Format
“clients”:[
{
“name”:”client1”,
“client-id”:”xxx”,
…
},
{
“name”:”client2”,
“client-id”:”xxx”,
…
},
…
]
Valeurs
- « name » : « client1 »
- La valeur du nom d'entrée du client. Cette valeur doit être unique pour tous les clients.
- « obf-secret » : "fgb3A1/rOkxW0ogmlJ5Ex23PMrn9/vDrb93YFMwJ/Jg="
- La valeur secrète obscurcie. À utiliser comme alternative préférable à l'option « secret ».
Pour générer cette valeur, utilisez la commande suivante sur les systèmes Windows (située dans C:\Program Files\IBM\IbmRadius\)
Utilisez la commande suivante sur les systèmes d' Linux.IbmRadius.exe -obf "the-client-secret"/opt/ibm/ibm_radius/ibm_radius_64 --obf "the-client-secret" - « voice-in-choice » : false
- Ajoute l' 2FA vocale enregistrée par l'utilisateur à la liste des options d' 2FA s qui lui sont proposées lors de l'authentification.
- « verify-message » : « Approuvez-vous cette demande provenant de client1? »
- Message envoyé à l'appareil utilisé pour l'autorisation d' 2FA, afin d'inviter l'utilisateur à agir. Par défaut, le message envoyé est"Do you approve this request from {name} ?"où {name} est la "name":"client" valeur.
- « user-name-attr » : "userName"
- Associe le nom d'utilisateur fourni à RADIUS à un IBM® Verify utilisateur, en fonction de la correspondance avec un attribut associé à cet Verify utilisateur. Par exemple, le nom d'utilisateur RADIUS pourrait être ajouté à un attribut personnalisé de type « IVerify » appelé otherUserName. Cet attribut personnalisé spécifie
Par défaut, l'attribut utilisateur « "userName" » est utilisé pour identifier l'utilisateur Verify correspondant au nom d'utilisateur RADIUS."user-name-attr": "urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName" - « ignore-isvalidated » : false
Lorsque cette option est activée, le client RADIUS peut utiliser des méthodes d' 2FA s qui n'ont pas été validées.
- « use-first-device » : false
- Lorsque cette option est définie sur « true » et que "auth-method" est "password-and-device", le client RADIUS utilise le premier appareil répertorié pour l'utilisateur, même si celui-ci dispose de plusieurs appareils pour l' 2FA.
- « prompts » : {}
- Ce bloc de configuration permet de personnaliser l'invite de sélection de l' 2FA. Ce bloc de configuration peut contenir les entrées suivantes :
- « choice-start » : "{prompt}"
- La chaîne « {prompt} » s'affiche juste avant la liste des choix d' 2FA.
- « choice-end » : "{prompt}"
- La chaîne « {prompt} » s'affiche immédiatement après la liste des choix d' 2FA. Toute
%Tvaleur contenue dans cette section{prompt}est remplacée par un nombre correspondant au nombre total de choix. - « trans-email » : "{prompt}"
- « trans-sms » : "{prompt}"
- « totp » : "{prompt}"
- « e-mail » : "{prompt}"
- « SMS » : "{prompt}"
- « voice » : "{prompt}"
- « device-presence » : "{prompt}"
- « device-biometric » : "{prompt}"
- Ces arguments permettent de personnaliser l'option d'invite pour chaque type d' 2FA. Les substitutions suivantes peuvent être appliquées :
- %I L'index des options d' 2FA
- %N La valeur associée au nom de l'option 2FA (par exemple, une adresse e-mail)
- %T Nombre total de choix
promptsconfiguration est
les choix d' 2FA s qui en résultent pourraient ressembler à ceci"prompts": { "choice-start": "Choose one of:\n", "email": "%I) %D\n", "sms": "%I) %D\n", "totp": "%I) TOTP\n", "choice-end": "Your choice (1->%T) " },Choose one of: 1) us**@us.ibm.com 2) #######4567 3) TOTP Your choice (1->3)
- "secret":"passw0rd"
Cette valeur est obligatoire. Ce mot de passe est le secret partagé entre le serveur IBM RADIUS et le client RADIUS (NAS). La valeur est utilisée pour chiffrer les mots de passe et signer les paquets de réponse entre les deux, à savoir le serveur et le client.
Remarque : ce mot de passe peut être défini sous une forme cryptée. Utilisez laIbmRadius.exe -obf <password>commande pour générer la version obfusquée et utilisez le paramètre alternatif :
.“obf-client-secret”:”KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=”,- "address":"192.168.0.129"
Cette valeur est obligatoire. Cette adresse est l'adresse IP d'origine des paquets du client RADIUS (NAS) et à laquelle les réponses sont renvoyées. Elle est utilisée pour mettre en correspondance le client RADIUS (NAS) avec la valeur de secret appropriée.
- "mask": "255.255.255.255"
- Cette valeur est facultative. Par défaut, il s'agit de
"255.255.255.255". Ce paramètre est un masque de réseau qui, conjointement avec le paramètre de configuration"address", est utilisé pour mettre en correspondance un client entrant et un client RADIUS. Un masque de"255.255.255.255"signifie qu'un client entrant doit avoir exactement la même adresse IP que celle indiquée dans le"address"pour que la correspondance soit établie. Le masque"0.0.0.0"indique que tout client entrant peut être mis en correspondance avec ce client. Le masque"255.255.0.0"met en correspondance les clients entrants dont les deux premiers octets de l'adresse IP sont ceux qui sont indiqués dans"address". Si plusieurs clients correspondent, la correspondance dont le masque est "le plus spécifique" est choisie. Par exemple, pour les deux clients :Client1 address: 192.168.0.0, mask: 255.255.255.0 Client2 address: 192.168.0.1, mask: 255.255.255.255- Si l'adresse du client entrante est
192.168.0.1, Client2 est choisi. - Si l'adresse du client entrante est
192.168.0.2, Client1 est choisi. - Si l'adresse du client entrante est
192.168.1.1, aucun client n'est choisi.
- Si l'adresse du client entrante est
- "auth-method":"password-then-smsotp"
Cette valeur est facultative. Par défaut, il s'agit de
“password”. Il s'agit de la méthode d'authentification requise pour authentifier les utilisateurs. Les valeurs admises sont les suivantes :Tableau 1. Valeurs acceptées Valeur Descriptif périphérique Seule l'opération d' 2FA ation d'un appareil est vérifiée. La valeur du mot de passe est ignorée. Sinon, cette méthode d'authentification fonctionne de la même manière que celle combinant mot de passe et appareil. mot de passe Seul un mot de passe valide est requis. password-and-totp Un mot de passe et une valeur de mot de passe à utilisation unique limitée dans le temps (TOTP) doivent être fournis sous forme de valeur unique. Vous pouvez désigner la chaîne qui apparaît en premier dans la valeur : le mot de passe ou la valeur TOTP. Voir le paramètre password-first. Afin de configurer le caractère qui est utilisé pour séparer les deux valeurs, voir le paramètrepassword-separator.password-then-totp Une fois que vous avez fourni un mot de passe valide, une demande d'authentification RADIUS, qui requiert la valeur de mot de passe à utilisation unique limitée dans le temps (TOTP), est envoyée. password-then-smsotp Une fois que vous avez fourni un mot de passe valide, un message SMS contenant une valeur de mot de passe à utilisation unique (OTP) est envoyé sur l'appareil mobile enregistré de l'utilisateur. Ensuite, une demande d'authentification RADIUS qui requiert la valeur SMSOTP est envoyée. password-then-emailotp Une fois que vous avez fourni un mot de passe valide, un message électronique contenant une valeur de mot de passe à utilisation unique (OTP) est envoyé à l'utilisateur. Ensuite, une demande d'authentification RADIUS qui requiert la valeur EmailOTP est envoyée. password-then-transsmsotp Une fois que vous avez fourni un mot de passe valide, un message SMS contenant une valeur de mot de passe à utilisation unique (OTP) est envoyé au numéro de téléphone indiqué dans le profil de l'utilisateur. Une demande d'authentification RADIUS qui requiert la valeur OTP est envoyée. Dans ce cas, à la différence du paramètre password-then-smsotp, il n'est pas nécessaire que le numéro de téléphone de l'utilisateur soit inscrit pour l'envoi du mot de passe à utilisation unique (OTP) par SMS.password-then-transemailotp Une fois que vous avez fourni un mot de passe valide, un message électronique contenant une valeur de mot de passe à utilisation unique (OTP) est envoyé à l'adresse électronique indiquée dans le profil de l'utilisateur. Une demande d'authentification RADIUS qui requiert la valeur OTP est envoyée. Dans ce cas, à la différence du paramètre password-then-emailotp, il n'est pas nécessaire que l'adresse électronique soit inscrite pour l'envoi du mot de passe à utilisation unique (OTP) par courrier électronique.password-then-choice-then-otp Une fois que vous avez fourni un mot de passe valide, une demande d'authentification RADIUS, qui requiert de choisir l'une des inscriptions à l'authentification par mot de passe à utilisateur unique (OTP) de l'utilisateur, est envoyée. Une fois le choix envoyé, une demande d'authentification RADIUS qui requiert la valeur de mot de passe à utilisation unique pour le choix est envoyée.
Remarque :Si l'utilisateur est inscrit uniquement à la méthode d'authentification par mot de passe à utilisation unique (OTP), l'étape de demande d'authentification concernant le choix est ignorée et l'utilisateur est invité à s'authentifier directement avec la valeur de mot de passe à utilisation unique.
Si l'utilisateur n'est pas inscrit à une méthode d'authentification par mot de passe à utilisation unique (OTP), le paramètre reject-on-missing-auth-method est appliqué.
password-and-device Une fois que vous avez fourni un mot de passe valide, une demande d'authentification RADIUS, qui requiert de choisir l'un des appareils enregistrés de l'utilisateur, est envoyée. Une fois le choix de l'appareil envoyé, une demande d'authentification RADIUS, qui correspond au mécanisme d'authentification dont la priorité est la plus élevée pris en charge par l'appareil, est envoyée.
Remarque :- Les mécanismes d'authentification tels que Face, Fingerprint ou User Presence peuvent être configurés par l'administrateur. Si plusieurs mécanismes sont activés, ils sont traités par ordre de priorité. Le mécanisme dont la priorité est la plus élevée et qui est pris en charge par l'appareil sélectionné est toujours choisi.
- Pour qu'un appareil enregistré soit valide, il doit prendre en charge au moins un mécanisme d'authentification valide configuré par l'administrateur.
- S'il n'existe qu'un seul appareil enregistré prenant en charge le mécanisme valide, l'étape de choix de l'appareil est ignorée. L'utilisateur doit s'authentifier avec le mécanisme prioritaire pour cet appareil.
- S'il n'existe aucun appareil enregistré prenant en charge les mécanismes valides, une réponse de rejet est émise.
mot-de-passe-et-totp-ou-appareil Si une valeur TOTP est détectée dans le mot de passe fourni par l'utilisateur, la méthode équivalente à « password-and-totp » est alors utilisée. Pour plus d'informations, consultez la page « password-and-totp ».
Si aucune valeur TOTP n'est détectée dans le mot de passe fourni par l'utilisateur, la méthode équivalente à celle dite « mot de passe et appareil » est alors utilisée. Pour plus d'informations, consultez la section « Mot de passe et appareil ».
Remarque : si le mot de passe de l'utilisateur commence ou se termine par six chiffres suivis d'un séparateur, le serveur RADIUS risque de le confondre avec une valeur TOTP intégrée. Par exemple, l'option « password-first » est définie sur « false » et le mot de passe commence par les six chiffres et le séparateur. De même, si cette option est définie sur « true » et que le mot de passe se termine par un séparateur suivi de six chiffres, la même condition s'applique. Dans les deux cas, une notification push ne peut pas servir de deuxième facteur pour l'authentification RADIUS. Le serveur RADIUS l'interprète comme une valeur TOTP et tente de la valider. La validation échoue et l'authentification est refusée.totp Le mot de passe est considéré comme un code TOTP (mot de passe à usage unique basé sur le temps) et seule l' 2FA TOTP est validée. Aucune validation d' 1FA s n'est effectuée. - "password-first":false
- Cette valeur est facultative. Par défaut, il s'agit de
false. Ce paramètre contrôle si le mot de passe est la première valeur dans la concaténation motdepasse-séparateur-OTP soumise par l'utilisateur pour la méthode d'authentification password-and-totp.Par exemple, la valeur de l'OTP est
1234, le mot de passe de l'utilisateur estPassword, et le caractère de séparation est:. Si password-first a pour valeur false, l'utilisateur entre "1234:MotDePasse". Si password-first a pour valeur true, l'utilisateur entre "MotDePasse:1234".Le caractère de séparation peut être configuré avec le paramètre password-separator.
- "password-separator":":"
- Cette valeur est facultative. Par défaut, il s'agit de
:. Ce paramètre configure le caractère utilisé pour séparer la valeur de mot de passe et la valeur de mot de passe à utilisation unique qui sont soumises par l'utilisateur pour la méthode d'authentification"password-and-totp". - "no-devices-in-choice":true
- Cette valeur est facultative. Par défaut, il s'agit de
false. Si la valeur esttrue, les appareils IBM Verify de l'utilisateur ne sont pas présentés comme choix de méthode d'authentification. - "reject-on-missing-auth-method":false
- Cette valeur est facultative. Par défaut, il s'agit de
true. Si la valeur estfalseet que l'utilisateur n'est pas enregistré pour l'authentification à deux facteurs par mot de passe à utilisation unique (OTP), celui-ci n'est pas invité à indiquer le mot de passe et son authentification aboutit. Si la valeur esttrueet que l'utilisateur n'est pas enregistré pour l'authentification à deux facteurs par mot de passe à utilisation unique, celui-ci n'est pas authentifié. - "otp-prompt":"Enter OTP %C:"
"Enter OTP %C:"Cette valeur est facultative; par défaut, elle correspond à la chaîne de caractères en anglais. Cette chaîne est renvoyée dans le paquet de demande d'authentification RADIUS et insérée dans la variable de paquet de réponse RADIUS"Reply-Message" (18). De nombreux clients RADIUS (NAS) affichent cette chaîne lorsqu'une entrée est requise de la part de l'utilisateur. Les caractères%Cdans l'invite sont remplacés par la corrélation de mot de passe à utilisation unique (OTP) ou la chaîne vide pour le mot de passe à utilisation unique limitée dans le temps (TOTP). Les caractères%%dans l'invite sont remplacés par un caractère%unique.- « user-name-append » : « Verify@Realm »
Cette valeur est facultative et la valeur par défaut est la chaîne vide (""). La valeur est ajoutée au nom d'utilisateur fourni à la connexion RADIUS. Elle est utilisée avec le nom d'utilisateur pour rechercher l'utilisateur dans Cloud Directory. Par exemple, si l'utilisateur RADIUS était "scott" et "user-name-append" : "@VerifyRealm", alors le serveur localise "scott@VerifyRealm" dans le registre d'utilisateurs.
- "use-local-pwd-check":false
- Cette valeur n'est pas disponible lors de l'exécution sur des systèmes Linux. C'est est facultatif et sa valeur par défaut est
false. Si la valeur esttrue, les mots de passe sont authentifiés à l'aide de la base de données de comptes locale plutôt qu'avec le répertoire cloud.Remarque : les noms d'utilisateur dans la base de données des comptes locaux et dans l'annuaire cloud doivent correspondre. Cette option ne peut pas être utilisée avecuse-external-ldap. - "local-domain":"."
- Cette valeur n'est pas disponible lors de l'exécution sur des systèmes Linux. Elle n'est utilisée que lorsque
use-local-pwd-checkesttrueet influe sur la vérification locale de l'authentification par mot de passe Windows. Lorsqu'un utilisateur se connecte à RADIUS avec un nom d'utilisateur qui n'inclut pas de valeur de domaine Windows, le serveur RADIUS valide l'utilisateur par rapport au compte Windows avec le domaine défini sur "." Lorsque le domaine est défini sur «. », Le mot de passe du compte est vérifié uniquement par rapport à la base de données des comptes locaux. Cette option permet d'utiliser le «. » peut être remplacé en indiquant un nom de domaine Windows ou la chaîne vide « ».Remarque :- Un nom d'utilisateur RADIUS est considéré comme associé à un domaine s'il contient un caractère “\” ou “@”. Par exemple, mydomain\testuser ou testuser@mydomain.com.
- Le serveur RADIUS utilise la fonction Windows
LogonUserA()pour obtenir des détails sur la valeur du domaine. Voir LogonUserA function (winbase.h) - Win32 apps.
- "use-external-ldap":false
- Cette valeur est facultative. Par défaut, il s'agit de
false. Les utilisateurs sont authentifiés avec une source d'identité passe-système LDAP configurée. Lorsque la valeur esttrue, la valeur"identity-source"doit être spécifiée. Cette option ne peut pas être utilisée avecuse-local-pwd-check. - "identity-source":"869e5652-bbb1-4f9b-8e55-0ae53d3bc30b"
- Cette valeur est requise uniquement lorsque
"use-external-ldap"a pour valeurtrue; autrement, elle est facultative. Elle spécifie la source d'identité à utiliser pour authentifier les utilisateurs. Une liste des sources d'identité configurées et de leurs identifiants peut être récupérée via une requête GET adressée à https://<tenant>/verify/v1.0/authnmethods/password . - "choice-prompt":"Please select an authentication method from the list: \r\n"
- Cette valeur est facultative. Par défaut, il s'agit d'une chaîne vide :
"". Elle admet la configuration d'un préfixe pour les invites comportant des lignes de choix. Les invites comportant des lignes de choix et leurs préfixes sont affichés lorsque l'utilisateur doit choisir une méthode d'authentification. - "choice-line-prompt":"Enter %I for %D \r\n"
- Cette valeur est facultative. Elle permet la personnalisation de chaque choix dans
l'invite de choix. Une invite de choix est générée pour chaque
choix disponible pour
l'utilisateur. La valeur par défaut est
"%I) %D\r\n", où les caractères%Isont remplacés par le caractère qui sélectionne le choix, et les caractères%Dcorrespondent à la description du choix. - "device-prompt":"Une notification push a été envoyée à votre dispositif [%D]."
- Cette valeur est facultative. Elle permet la personnalisation de l'invite
device/fingerprint/userpresence. La valeur par défaut est
"A push notification has been sent to your device [%D]. Please refresh your IBM Verify application if you did not receive it."où%Dest remplacé par la description du périphérique. - "\r\nYou have multiple authenticators, please choose one by entering a number:"
- Si
“auth-method”est défini sur“password-and-device”, il se peut que plusieurs appareils soient enregistrés pour l'utilisateur. Le serveur RADIUS invite l'utilisateur à choisir l'appareil à utiliser. Ce choix correspond au préfixe de la liste des choix. Le message par défaut est en anglais :"\r\nYou have multiple authenticators, please choose one by entering a number:"Remarque : certains clients RADIUS ne prennent pas en charge les caractères\r\nde retour chariot et de saut de ligne. Si le client ne réagit pas correctement, réessayez en supprimant ces caractères de la configuration du format. - “device-choice-line-prompt”:"\r\n%I/%T: %D"
- Lorsque vous êtes invité à choisir des appareils, ce paramètre définit le format de chaque choix d'appareil. La valeur par défaut est le message suivant :
"\r\n%I/%T: %D"où- %I est remplacé par l'index de l'appareil sur lequel l'utilisateur doit saisir son texte pour sélectionner l'appareil.
- %T est remplacé par le nombre total d'options d'appareil.
- %D est remplacé par la description de l'appareil de l'utilisateur.
Remarque : certains clients RADIUS ne prennent pas en charge les caractères\r\nde retour chariot et de saut de ligne. Si le client ne réagit pas correctement, réessayez en supprimant ces caractères de la configuration du format. - "transients-in-choice":false
- Si la ligne de configuration "transients-in-choice" a pour valeur
"true", les choix d'authentification par mot de passe à utilisation unique (OTP) répertoriés dans"transient-choices"en fonction des attributs d'un profil de répertoire cloud d'utilisateur sont inclus en tant que choix d'authentification par mot de passe à utilisation unique (OTP), que l'utilisateur soit inscrit ou non pour la réception des mots de passe à utilisation unique par SMS ou courrier électronique. - "transient-choices": ["emails", "phoneNumbers"]
- Cette valeur est facultative. Par défaut, il s'agit de
["emails","phoneNumbers"]. Ce paramètre contrôle les choix d'authentification par mot de passe à utilisation unique (OTP) transitoires à la disposition des utilisateurs. - "no-enrollments-in-choice":false
- Cette valeur est facultative. Par défaut, il s'agit de
false. Si la ligne de configuration "no-enrollments-in-choice" a pour valeur"true", les méthodes d'authentification par mot de passe à utilisation unique (OTP) inscrites de l'utilisateur, notamment les authentifications par mot de passe à utilisation unique limitée dans le temps (TOTP), par courrier électronique et par SMS, ne sont pas incluses en tant que choix d'authentification. - "poll-device":false
- Cette valeur est facultative. Par défaut, il s'agit de
false.trueSi cette option est activée, le serveur interroge le système Verify pour connaître l'état d'une vérification au lieu d'inviter l'utilisateur à agir et d'attendre sa réponse. - "poll-timeout":"60"
- Cette valeur est facultative. Par défaut, il s'agit de
60. Cet attribut définit le nombre maximal de secondes pendant lesquelles le serveur effectue des requêtes Verify après la création d'une vérification de périphérique. Il n'a pas d'effet si"poll-device"a pour valeurfalse. - "poll-delay":"2"
- Cette option détermine le délai entre chaque interrogation en secondes. Le serveur RADIUS interroge Verify régulièrement le périphérique afin de déterminer s'il doit accepter ou refuser l'authentification de l'utilisateur. Le paramètre par défaut est une interrogation toutes les deux secondes. Cette valeur est ignorée à moins qu'elle ne soit
>= 1 and < (“poll-timeout” / 2) - « auth-method-order » : [ « fingerprint », « "userPresence" » ]
- Définit les méthodes PUSH de l'appareil et leur ordre.
- « id-link-attr » : "userName"
- Lorsque plusieurs sources d'identité sont définies dans le tenant et qu'elles utilisent la liaison d'identité, cet élément de configuration définit le nom d'un attribut de l'utilisateur identifié par « user-name-attr » qui permet d'identifier le nom d'utilisateur à utiliser pour valider le mot de passe. Voici quelques exemples de valeurs :
- "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
- "emails.work"
- "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
- "userName"
- « user-name-table » : [ { "from": "{radius-user-name} », « to » : "{isv-user-name}" },... ]
- Fournit un tableau de correspondances entre le nom d'utilisateur fourni par le client Radius et le Verify nom d'utilisateur.
- « use-mapping-user-id » : false
- Si « id-link-attr » est défini et que cette option est activée, ce sont les paramètres d'authentification multifactorielle (MFA) de l'utilisateur identifié par « user-name-attr » qui sont utilisés, et non ceux utilisés pour l'authentification référencés par « id-link-attr ».
- « require-msg-auth » : false
- Les serveurs RADIUS de la version 1.0.11.0 et des versions ultérieures vérifient systématiquement la signature de l'attribut Message-Authenticator lorsqu'il est présent. Ils ajoutent toujours une signature de l'attribut « Message-Authenticator » aux réponses. L'attribut « Message-Authenticator » est défini dans la section « 3.2 » de la norme RFC 3579.
trueSi cette option est activée, l'attribut Message-Authenticator doit être présent et valide dans les paquets Access-Request pour que le serveur RADIUS puisse traiter la requête. - « reject-bad-packet » : false
- Par défaut, le serveur RADIUS ignore les requêtes mal formées ou mal signées.
trueLorsque cette option est activée, le serveur RADIUS répond en renvoyant une réponse « Access-Reject ».