Configuration du IBM Verify Gateway for RADIUS serveur
Ce document explique comment configurer la passerelle d' IBM® Verify pour RADIUS.
Procédure
- Créez des données d'identification de client API.
- Connectez-vous à la IBM Verify console d'administration en tant qu'administrateur.
- Cliquez sur Configuration > Accès API > Ajouter un client API.
- Indiquez un nom pour le client.Par exemple, IBM Verify Gateway.
- Sélectionnez les cases à cocher afin d'accorder les droits d'accès suivants :
- Authentifier un utilisateur
- Lire l'inscription à l'authentification à deux facteurs pour tous les utilisateurs
- Lire les utilisateurs et les groupes
- Cliquez sur Enregistrer.
- Recherchez votre client API dans la liste et passez la souris à l'extrémité de la ligne pour afficher l'icône de modification.
- Cliquez sur l'icône d'édition.Les informations du client API sont affichées.
- Copiez l'ID et le secret client dans le presse-papiers ou cliquez sur l'icône
représentant un oeil pour afficher le secret et sauvegardez les informations.Vous aurez besoin de ces informations lorsque vous modifierez le IbmRadius fichier de configuration.
- Cliquez sur Annuler.Aucune modification n'est nécessaire.
Pour plus d'informations, consultez la section Création de clients API. - Créez des utilisateurs.
- Utilisez la IBM Verify console d'administration pour créer des utilisateurs pour le Verify Gateway for RADIUS serveur.Voir la section « Gestion des utilisateurs ».Pour chaque utilisateur nécessitant une authentification à deux facteurs, vous devez l'inscrire à un système OTP (mot de passe à usage unique), tel que TOTP, EmailOTP, ou SMSOTP, via les API d'inscription correspondantes dans Verify.Remarque : le serveur RADIUS « IBM » ne propose pas de fonctionnalité permettant d'enregistrer des utilisateurs pour l'OTP.
- Utilisez la IBM Verify console d'administration pour créer des utilisateurs pour le Verify Gateway for RADIUS serveur.
- Modifiez le IbmRadius fichier de configuration.Le IbmRadiusConfig.json fichier est au format JSON, avec une modification non standard. Vous pouvez mettre des sections du fichier en commentaire en les encadrant entre
/*et*/.Consultez https://www.json.org/ pour obtenir le fichier JSON.
- Modifiez le fichier JSON à l'aide de votre éditeur de texte préféré.Pour les systèmes Windows™ C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json
Pour les systèmes d' Linux® /etc/IbmRadiusConfig.json
Dans cet exemple rapide, remplacez les valeurs des variables par l'ID client et la clé secrète client définis à l'adresse 1.h, puis mettez à jour le nom d'hôte du IBM Verify serveur utilisé et l'adresse IP du Verify Gateway for RADIUS client à utiliser.Modifiez l'adresse du client pour qu'elle corresponde à celle de votre Verify Gateway for RADIUS client (NAS), par exemple un serveur VPN ou un module PAM RADIUS. Le client RADIUS doit être configuré avec la valeur du secret client que vous avez définie dans ce fichier.
{ "address": "::", "port": 1812, "ibm-auth-api": { "host": "xxxxxxxx.verify.ibm.com", "max-handles": 16, "protocol": "https", "port": 443, "client-id": "xxxxxxxx", "client-secret": "xxxxxxxx" }, "policy" : [ { "name": "policy1", "return-attrs": [ { "value": "Login", "name": "Service-Type" } ] } ], "clients": [ { "address": "192.168.1.144", "mask": "255.255.255.255", "choice-prompt": "Please select an authentication method from the list: \r\n", "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b", "auth-method": "password-then-totp", "name": "client1", "transients-in-choice": false, "transient-choices": ["emails", "phoneNumbers"], "use-external-ldap": true, "choice-line-prompt": "Enter %I for %D \r\n", "secret": "passw0rd", "no-devices-in-choice": false, "reject-on-missing-auth-method": false, "no-enrollments-in-choice": false, "device-prompt": "A push notification has been sent to your device: [%D].", "poll-device": true, "poll-timeout": 60 } ] } - Editez la section top level {}.C'est là que se trouvent les Verify Gateway for RADIUS paramètres généraux. Voir {} (niveau supérieur).
- Editez la section "ibm-auth-api": {}. Il contient les informations de connexion au IBM Verify serveur. Voir « ibm-auth-api » : {}.
- Editez la section "clients": []. Il contient les informations de connexion au IBM Verify serveur. Voir « clients » : [].
- Editez la section "policy":[].Il s'agit d'un tableau de règles qui peuvent ajouter conditionnellement des attributs, ou accepter ou approuver des demandes d'autorisation. Voir « politique » : [].
- Modifiez le fichier JSON à l'aide de votre éditeur de texte préféré.