"ibm - auth - api": {}

Modifica online

Questa sezione configura la connessione al server IBM® Verify .

Formato

"ibm-auth-api":{
        "client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
        "protocol":"https",
        "host":"xxxx.verify.ibm.com",
        "port":"443",
        "max-handles":"16"
    },

Valori:

"id client": "84e8da25-d7ed-47cc-9782-b852cb64365c"
Questo valore è obbligatorio. Un client API Verifydeve essere creato per essere utilizzato dal modulo IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) .
"obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
Questo valore è obbligatorio. Al momento della creazione del client IBM Verify viene assegnato un client-secret (password) che deve essere impostato in questa configurazione. L'obf-client-secret è il client-secret in forma offuscata. Utilizzare il comando /opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret per generare il valore obf-client-secret.
Nota: questo obf - client - secret può essere fornito in alternativa in testo semplice utilizzando invece l'opzione "client-secret". Ad esempio.
"client-secret”:"xxxxxxxxxx"
"protocollo": "https"

Questo valore è facoltativo e il valore predefinito è "https". Questo protocollo viene utilizzato per comunicare al server Verify . È possibile utilizzare il valore "http" o "https". Quando viene utilizzato https e il file /etc/pam_ibm_auth.pem è presente, il certificato server Verify e il nome server vengono convalidati.

"host": "slick.verify.ibm.com"

Questo valore è obbligatorio. Identifica il server Verify che si sta utilizzando.

"porta": 443

Questo valore è facoltativo e il valore predefinito è 443. Questa porta è la porta su cui il server Verify è in ascolto per le richieste.

"max-handle": 16
Questo valore è facoltativo e il valore predefinito è 16. Questo valore è il numero massimo di connessioni parallele che il server IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) effettua al server Verify per l'autenticazione utente.
"porta-autenticazione": 12

Questo valore non è più supportato.

Nota: per utilizzare un proxy, authd-port deve essere disabilitato.
"proxy": "http://proxy.ibm.com:1080"
Questo valore è facoltativo e per impostazione predefinita non utilizza un proxy e utilizza connessioni dirette.
Impostare il proxy per accedere al tenant Verify . I valori sono un nome host o un indirizzo IP numerico puntato. L'indirizzo numerico IPv6 deve essere scritto tra [parentesi]. Per specificare il numero di porta in questa stringa, aggiungere :[port] alla fine del nome dell'host. La porta del proxy è predefinita a port :1080. La stringa del proxy può essere preceduta da [scheme]:// per specificare il tipo di proxy utilizzato.
Nota: per utilizzare un proxy, è necessario configurare le impostazioni del proxy e disabilitare authd-port.
http://
Proxy HTTP. Il tipo predefinito quando non viene specificato alcun tipo di schema o proxy.
https://
Proxy HTTPS. Aggiunto in 7.52.0 per OpenSSL, GnuTLS e NSS.
socks4://
SOCKS4 Delega.
socks4a://
Proxy SOCKS4a . Il proxy risolve il nome host dell URL.
socks5://
SOCKS5 Delega.
socks5h://
SOCKS5 Delega. Il proxy risolve il nome host dell URL.
L'impostazione della stringa proxy su "", una stringa vuota, disabilita esplicitamente l'utilizzo di un proxy, anche se per esso è impostata una variabile di ambiente.

Una stringa host proxy può includere anche uno schema di protocollo http:// e un utente integrato e una password.

"proxytunnel" :true
Questo valore è facoltativo e il valore predefinito è true se il proxy è abilitato.

Impostare l'argomento proxytunnel a true per fare in modo che il funzionamento del tenant Verify passi attraverso il proxy HTTP. L'uso di un proxy è diverso dal tunneling attraverso di esso. Tunneling significa che una richiesta di HTTP CONNECT viene inviata al proxy, chiedendogli di connettersi a un host remoto su un numero di porta specifico e quindi il traffico viene fatto passare attraverso il proxy. I proxy consentono di elencare i numeri di porta specifici a cui consentono le richieste CONNECT. Generalmente, sono consentite solo le porte 80 e 443.

"tipo token": "Bearer"
Specifica il tipo di token di accesso di "access-token".
"access-token": " {token} "
Specifica il token di accesso da utilizzare per il titolare. Questa è un'alternativa all'utilizzo delle opzioni "client-id" e "client-secret" se il token di accesso è già noto.
"ca-path": " {path-to-ca-file} "
Specifica un file con un elenco di firmatari di autorità di certificazione consentiti del certificato del tenant server Verify . Questo file di testo contiene uno o più certificati di chiave pubblica PEM CA in formato base64.
Per impostazione predefinita, utilizza il file cacert.pem ubicato nella directory del file di configurazione.
"origin-user-agent": "IBM Verify"
Specifica l'agent utente inviato nella richiesta di avviare una transazione push (periferica).
"timeout di connessione": 10
Specifica il tempo massimo, in secondi, consentito per la fase di connessione di un'operazione contro l'API REST del tenant Verify . Questo timeout limita solo la fase di connessione. Non ha alcun impatto dopo che è stato connesso.
"timeout": 40
Specifica la quantità massima di tempo, in secondi, che l'operazione API REST del singolo tenant può impiegare.
"proxy - ca - path": "{path-to-ca-file}"
Specifica un file con un elenco di firmatari dell'autorità di certificazione consentiti del certificato del server proxy. Questo file di testo contiene uno o più certificati di chiave pubblica PEM CA in formato base64.
Per impostazione predefinita, utilizza il file cacert.pem ubicato nella directory del file di configurazione.
"crl-file": " {path-to-crl-file} "
Definisce la CRL per la convalida del certificato del server API REST del tenant Verify .
Il valore dell'opzione specifica un file contenente una concatenazione di CRL (in formato PEM) da utilizzare nella convalida del certificato che avviene durante lo scambio TLS con il server REST API del tenant Verify .
"proxy - crl - file": "{path-to-crl-file}"
Definisce la CRL per la convalida del certificato del server proxy (non del server API REST del tenant Verify ).
Il valore dell'opzione specifica un file contenente una concatenazione di CRL (in formato PEM) da utilizzare nella convalida del certificato che si verifica durante lo scambio TLS con il server proxy.

"ibm-authd": {}

È possibile impostare un file di traccia per il processo ibm_authd .

"pam": {}

È possibile impostare un file di traccia per il modulo pam_ibm_auth.so .

Altri file

Il file /etc/pam_ibm_auth.pem può essere configurato per consentire la verifica del certificato tenant e per verificare che il nome host del tenant sia valido per il certificato che fornisce. Questo file di testo contiene uno o più certificati CA PEM, la traduzione base64 delle chiavi pubbliche CA x509 ASN.1 .