"ibm-auth-api":{}

Cette section permet de configurer la connexion au IBM® Verify serveur.

Format

"ibm-auth-api":{
        "client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
        "protocol":"https",
        "host":"xxxx.verify.ibm.com",
        "port":"443",
        "max-handles":"16"
    },

Valeurs :

"client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
Cette valeur est obligatoire. VerifyIl faut créer un client API destiné à être utilisé par le IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) module.
"obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
Cette valeur est obligatoire. Le IBM Verify client se voit attribuer un secret client (mot de passe) lors de sa création et doit le définir dans ce paramètre de configuration. Le « obf-client-secret » est un secret client sous une forme obscurcie. Utilisez la /opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret commande pour générer la valeur obf-client-secret.
Remarque : ce secret client obf-client-secret peut également être fourni en clair en utilisant plutôt l'option « client-secret ». Par exemple.
"client-secret”:"xxxxxxxxxx"
"protocol":"https"

Cette valeur est facultative ; par défaut, il s'agit de “https”. Ce protocole sert à communiquer avec le Verify serveur. Vous pouvez utiliser la valeur “http” ou la valeur “https”. Lorsque https est utilisé et que le fichier /etc/pam_ibm_auth.pem est présent, le certificat du serveur Verify et le nom du serveur sont validés.

« host » : « slick. verify.ibm.com»

Cette valeur est obligatoire. Il identifie le Verify serveur que vous utilisez.

"port":443

Cette valeur est facultative ; par défaut, il s'agit de 443. Ce port est celui sur lequel le Verify serveur écoute les requêtes.

"max-handles":16
Cette valeur est facultative ; par défaut, il s'agit de 16. Cette valeur correspond au nombre maximal de connexions parallèles que le IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) serveur établit avec le Verify serveur pour l'authentification des utilisateurs.
"authd-port": 12

Cette valeur n'est plus prise en charge.

Remarque : pour utiliser un serveur proxy, le authd-port doit être désactivé.
« proxy » : « http://proxy.ibm.com:1080»
Cette valeur est facultative. Le comportement par défaut consiste à ne pas utiliser de proxy et à se servir de connexions directes.
Configurez le proxy pour accéder au Verify tenant. La valeur est un nom d'hôte ou une adresse IP dont les nombres sont séparés par un point. Une adresse IPv6 numérique doit être placée entre [crochets]. Pour spécifier un numéro de port dans cette chaîne, ajoutez :[port] à la fin du nom d'hôte. La valeur par défaut du port du proxy est port :1080. La chaîne de proxy peut être préfixée avec [scheme]:// pour spécifier le type de proxy utilisé.
Remarque : pour utiliser un proxy, vous devez configurer les paramètres du proxy et désactiver le authd-port.
http://
Proxy HTTP. Il s'agit du type par défaut lorsqu'aucun schéma ou type de proxy n'est spécifié.
https://
Proxy HTTPS. Ajouté dans la version 7.52.0 pour OpenSSL, GnuTLS et NSS.
socks4://
Proxy SOCKS4.
socks4a://
Proxy SOCKS4a. La résolution du proxy est le nom d'hôte d'URL.
socks5://
Proxy SOCKS5.
socks5h://
Proxy SOCKS5. La résolution du proxy est le nom d'hôte d'URL.
La définition de la chaîne de proxy sur "", une chaîne vide, désactive explicitement l'utilisation d'un proxy, même si une variable d'environnement est définie pour elle.

Une chaîne d'hôte proxy peut également inclure le schéma de protocole http://, ainsi qu'un utilisateur et un mot de passe imbriqués.

"proxytunnel":true
Cette valeur est facultative. Il s'agit de true si le proxy est activé.

Définissez l'argument proxytunnel sur true pour que Verify les opérations du locataire transitent par le proxy HTTP. L'utilisation d'un proxy et la tunnellisation par un proxy ne sont pas équivalentes. Avec la tunnellisation, une demande de connexion HTTP est envoyée au proxy en vue de la connexion à un hôte distant sur un numéro de port spécifique, puis le trafic est transmis via le proxy. Les proxys placent sur liste autorisée les numéros de port spécifiques sur lesquels ils autorisent les demandes de connexion. En général, seuls les ports 80 et 443 sont autorisés.

« type de jeton » : « Bearer »
Spécifie le type de jeton d'accès « access-token ».
« access-token » : "{token}"
Spécifie le jeton d'accès à utiliser pour le locataire. Il s'agit d'une alternative à l'utilisation des options « client-id » et « client-secret » lorsque le jeton d'accès est déjà connu.
« ca-path » : "{path-to-ca-file}"
Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le Verify certificat du serveur du locataire. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64.
Par défaut, il utilise le cacert.pem fichier situé dans le répertoire des fichiers de configuration.
« origin-user-agent » : « IBM Verify»
Spécifie l'agent utilisateur envoyé dans la requête pour lancer une transaction de type « push » (appareil).
« connect-timeout » : 10
Spécifie la durée maximale, en secondes, que peut prendre la phase de connexion d'une opération effectuée via l'API REST du Verify tenant. Ce délai d'expiration ne concerne que la phase de connexion. Une fois branché, il n'a aucun effet.
« timeout » : 40
Spécifie la durée maximale, en secondes, que peut prendre une opération de l'API REST pour un locataire donné.
« proxy-ca-path » : "{path-to-ca-file}"
Spécifie un fichier contenant la liste des autorités de certification autorisées à signer le certificat du serveur proxy. Ce fichier texte contient un ou plusieurs certificats de clé publique de l'autorité de certification ( PEM ) au format base64.
Par défaut, il utilise le cacert.pem fichier situé dans le répertoire des fichiers de configuration.
« crl-file » : "{path-to-crl-file}"
Définit la liste CRL utilisée pour valider le certificat du serveur REST API du Verify locataire.
La valeur de cette option spécifie un fichier contenant une concaténation de listes CRL (au format « PEM ») à utiliser lors de la validation des certificats qui a lieu pendant l'échange d' TLS s avec le Verify serveur REST API du locataire.
« proxy-crl-file » : "{path-to-crl-file}"
Définit la liste CRL utilisée pour valider le certificat du serveur proxy (et non celui du serveur API REST du tenant concerné Verify ).
La valeur de cette option spécifie un fichier contenant une concaténation de listes CRL (au format « PEM ») à utiliser lors de la validation des certificats qui a lieu pendant l'échange d' TLS s avec le serveur proxy.

"ibm-authd":{}

Un fichier de trace peut être défini pour le processus ibm_authd.

"pam":{}

Un fichier de trace peut être défini pour le module pam_ibm_auth.so.

Autres fichiers

Le fichier /etc/pam_ibm_auth.pem peut être configuré pour permettre la vérification du certificat du titulaire et pour vérifier que le nom d'hôte du titulaire est valide pour le certificat fourni. Ce fichier texte contient un ou plusieurs certificats PEM de l'autorité de certification, qui sont une conversion en base64 des clés publiques de l'autorité de certification au format x509 conformément à la spécification ASN.1.