"clients":[]

オンラインで編集

このセクションは、この RADIUS サーバーを使用する各 RADIUS クライアント (NAS) の詳細を保持する配列です。

フォーマット

“clients”:[
  {
    “name”:”client1”,
    “client-id”:”xxx”,
    …
  },
  {
    “name”:”client2”,
    “client-id”:”xxx”,
    …
  },
  …
]

"name": " client1 "
クライアントエントリの名前と値。 これはすべてのクライアントに対して一意でなければなりません。
「obf-secret」: "fgb3A1/rOkxW0ogmlJ5Ex23PMrn9/vDrb93YFMwJ/Jg="
難読化された秘密値。 「secret」オプションの代わりに、こちらを使用することをお勧めします。

この値を生成するには、Windows システムで次のコマンドを実行してください(場所は C:\Program Files\IBM\IbmRadius\

IbmRadius.exe -obf
        "the-client-secret"
Linux システムでは、次のコマンドを実行してください。
/opt/ibm/ibm_radius/ibm_radius_64 --obf
        "the-client-secret"
"voice-in-choice": false
認証時にユーザーが選択できる「 2FA 」の選択肢に、ユーザーが登録した音声「 2FA 」を追加します。
"verify-message": " client1 からのこのリクエストを承認しますか?"
2FA の承認に使用されるデバイスに送信され、ユーザーに確認を促すメッセージ。 デフォルトでは、送信されるメッセージは"Do you approve this request from {name} ?"ここで、 {name} がその "name":"client" 値である。
"user-name-attr": "userName"
RADIUSに提供されたユーザー名を、ユーザー Verify に格納されている属性との照合に基づき、特定の IBM® Verify ユーザーに紐付けます。 otherUserNameたとえば、RADIUSのユーザー名は、「IVerify 」というカスタム属性に追加される場合があります。 そのカスタム属性は、以下を指定します
"user-name-attr": "urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName"
デフォルトでは、RADIUSのユーザー名に一致するユーザーを Verify 特定するために、ユーザー属性 "userName" が使用されます。
"ignore-isvalidated": false

true に設定すると、RADIUS クライアントは検証されていない ` 2FA ` メソッドを使用できるようになります。

"use-first-device": false
"password-and-device"この設定が true に設定されており、かつ が "auth-method" の場合、RADIUS クライアントは、ユーザーが 2FA に複数のデバイスを登録している場合でも、そのユーザーに対してリストされている最初のデバイスを使用します。
"プロンプト": {}
この設定ブロックでは、 2FA の選択プロンプトをカスタマイズします。 この設定ブロック内には、以下の項目を含めることができます:
"choice-start": "{prompt}"
「 {prompt} 」という文字列は、「 2FA 」の選択肢のリストの直前に出力されます。
「choice-end」: "{prompt}"
「 {prompt} 」という文字列は、「 2FA 」の選択肢のリストの直後に出力されます。 この {prompt} 範囲内の値はすべて %T 、選択肢の総数を表す数値に置き換えられます。
「trans-email」: "{prompt}"
「trans-sms」: "{prompt}"
「totp」: "{prompt}"
「メールアドレス」: "{prompt}"
「SMS」: "{prompt}"
"voice": "{prompt}"
「device-presence」: "{prompt}"
「device-biometric」: "{prompt}"
これらの引数は、 2FA の各タイプごとにプロンプトオプションをカスタマイズします。 以下の置換を適用できます:
  • %I 2FA オプションのインデックス
  • %N 「 2FA 」オプション名に関連付けられた値(例:メールアドレス)
  • %T 選択肢の総数
たとえば、設定が prompts
"prompts": {
    "choice-start": "Choose one of:\n",
    "email": "%I) %D\n",
    "sms": "%I) %D\n",
    "totp": "%I) TOTP\n",
    "choice-end": "Your choice (1->%T) "
},
その結果、 2FA の選択肢は次のようなものになるかもしれません
Choose one of:
1) us**@us.ibm.com
2) #######4567
3) TOTP
Your choice (1->3)
"secret":"passw0rd"

この値は必須です。 このパスワードは、IBM RADIUS サーバーと RADIUS クライアント (NAS) の間の共有秘密鍵です。 この値は、サーバーとクライアントの間で、パスワードの暗号化、および応答パケットの署名のために使用されます。

注: この秘密情報は、難読化された形式で設定することができます。 コマンド IbmRadius.exe -obf <password> を使用して難読化されたバージョンを生成し、代替設定を使用してください:
“obf-client-secret”:”KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=”,
.
"address":"192.168.0.129"

この値は必須です。 このアドレスは、RADIUS クライアント (NAS) からのパケットの送信元、および応答の送信先とする IP アドレスです。 RADIUS クライアント (NAS) を該当する秘密鍵と突き合わせるために使用されます。

"mask": "255.255.255.255"
この値はオプションであり、デフォルトは "255.255.255.255" です。 この設定は、"address" 構成設定とともに、着信クライアントを RADIUS クライアントと突き合わせるために使用するネットマスクです。 「」という "255.255.255.255" マスクは、接続しようとするクライアントのIPアドレスが、一致させる対象のIPアドレス "address" と完全に一致している必要があることを意味します。 "0.0.0.0" のマスクは、すべての着信クライアントをこのクライアントと突き合わせることを意味します。 "255.255.0.0" のマスクは、IP アドレスの先頭 2 オクテットが "address" の IP アドレスの先頭 2 オクテットと一致した着信クライアントが一致します。 一致するクライアントが複数ある場合は、「より限定的な」マスクを持つクライアントが選択されます。 例として、以下の 2 つのクライアントがあるとします。
Client1 address: 192.168.0.0, mask: 255.255.255.0

Client2 address: 192.168.0.1, mask: 255.255.255.255
  • 着信クライアント・アドレスが 192.168.0.1 の場合は、Client2 に一致します。
  • 着信クライアント・アドレスが 192.168.0.2 の場合は、Client1 に一致します。
  • 着信クライアント・アドレスが 192.168.1.1 の場合は、いずれのクライアントにも一致しません。
"auth-method":"password-then-smsotp"

この値はオプションであり、デフォルトは “password” です。 この方式は、ユーザーを認証するために必要な認証の方式です。 指定できる値は以下のとおりです。

表 1. 有効な値
説明
装置 2FA 操作のみが検証されます。 パスワードの値は無視されます。 それ以外については、この認証方法は「 パスワードとデバイス」 と同じ動作をします。
パスワード 有効なパスワードのみが必要です。
password-and-totp パスワードと TOTP 値を 1 つの値として指定する必要があります。 パスワードと TOTP 値のどちらを値の先頭に指定するかを構成できます。 password-first の設定を参照してください。 2 つの値の区切りとして使用する記号を構成するには、password-separator の設定を参照してください。
password-then-totp 有効なパスワードが入力されると、TOTP 値を要求する後続の RADIUS チャレンジが送信されます。
password-then-smsotp 有効なパスワードが入力されると、OTP 値を記載した SMS メッセージがユーザーの登録済みモバイル・デバイスに送信されます。 次に、SMSOTP 値を要求する RADIUS チャレンジが送信されます。
password-then-emailotp 有効なパスワードが入力されると、OTP 値を記載した E メール・メッセージがユーザーに送信されます。 次に、EmailOTP 値を要求する RADIUS チャレンジが送信されます。
password-then-transsmsotp 有効なパスワードが入力されると、OTP 値を記載した SMS メッセージが、ユーザーのプロファイルにある電話番号に送信されます。 OTP 値を要求する RADIUS チャレンジが送信されます。 password-then-smsotp と異なり、SMS による OTP のためにユーザーの電話番号を登録する必要はありません。
password-then-transemailotp 有効なパスワードが入力されると、OTP 値を記載した E メール・メッセージが、ユーザーのプロファイルにある E メール・アドレスに送信されます。 OTP 値を要求する RADIUS チャレンジが送信されます。 password-then-emailotp と異なり、E メールによる OTP のためにユーザーの E メール・アドレスを登録する必要はありません。
password-then-choice-then-otp

有効なパスワードが入力されると、ユーザーの OTP 登録のうち、使用する登録を 1 つ選択するように要求する RADIUS チャレンジが送信されます。 選択内容を送信すると、選択した OTP 値を要求する RADIUS チャレンジが送信されます。

注:

ユーザーの登録済み OTP 方式が 1 つしかない場合は、選択を求めるチャレンジのステップがスキップされ、その OTP 値に対応するチャレンジが直接送信されます。

ユーザーが OTP 登録を行っていない場合は、reject-on-missing-auth-method が有効になります。
password-and-device 有効なパスワードが入力されると、ユーザーの有効な登録済みデバイスのうち、使用するデバイスを 1 つ選択するように要求する RADIUS チャレンジが送信されます。

デバイスの選択を送信すると、そのデバイスでサポートされている最優先の認証メカニズムに対応する RADIUS チャレンジが送信されます。

注:
  • 認証メカニズム (顔、指紋、ユーザー存在など) は管理者が構成できます。 複数のメカニズムを有効にした場合は、優先順に処理されます。 選択したデバイスでサポートされているメカニズムのうち、最も優先順位が高いメカニズムが常に選択されます。
  • 登録されたデバイスを有効にするには、そのデバイスが、管理者によって構成された有効な認証メカニズムを少なくとも 1 つサポートしている必要があります。
  • 有効なメカニズムをサポートする登録済みデバイスが 1 台しか存在しない場合は、デバイス選択ステップがスキップされます。 ユーザーに対して、そのデバイスの優先メカニズムでチャレンジが行われます。
  • 有効なメカニズムをサポートする登録済みデバイスが存在しない場合は、REJECT 応答が発行されます。
パスワードとTOTPまたはデバイス

ユーザーが指定したパスワードにTOTP値が含まれている場合、「password-and-totp」メソッドと同等の処理が実行されます。 詳細については、password-and-totp を参照してください。

ユーザーが指定したパスワードにTOTP値が含まれていない場合、「パスワードとデバイス」方式に相当する方式が使用されます。 詳細については、「password-and-device」 を参照してください。

注: ユーザーのパスワードが6桁の数字と区切り文字で始まったり終わったりする場合、RADIUSサーバーによって埋め込まれたTOTP値と誤認される可能性があります。 たとえば、password-first オプションが false に設定されており、パスワードは 6 桁の数字と区切り文字で始まります。 同様に、この設定を true に設定し、パスワードが区切り文字と6桁の数字で終わっている場合にも、同様の条件が適用されます。 いずれの場合も、デバイスのプッシュ通知をRADIUS認証の第二要素として使用することはできません。 RADIUSサーバーはこれをTOTP値として解釈し、その有効性を確認しようとします。 検証に失敗し、認証が拒否されました。
totp パスワードはTOTP(時間ベースの一時パスワード)の値のみであるとみなされ、TOTPの 2FA のみが検証されます。 1FA の検証は行われません。
"password-first":false
この値はオプションであり、デフォルトは false です。 この設定は、password-and-totp 認証方式の場合にユーザーによって送信される、パスワードと区切り記号と OTP の連結内で、パスワードを最初の値とするかどうかを制御します。

例えば、OTP の値が 1234 であり、ユーザーのパスワードが Password であり、区切り記号が : であるとします。 password-first を false に設定した場合、ユーザーは "1234:Password" と入力します。 password-first を true に設定した場合、ユーザーは "Password:1234" と入力します。

区切り記号は password-separator の設定で構成できます。

"password-separator":":"
この値はオプションであり、デフォルトは : です。 この設定は、"password-and-totp" 認証方式の場合にユーザーによって送信されるパスワードと OTP の値を区切るために使用する文字を構成します。
"no-devices-in-choice":true
この値はオプションであり、デフォルトは false です。 true に設定した場合は、認証方式の選択項目としてユーザーの IBM Verify デバイスが表示されません。
"reject-on-missing-auth-method":false
この値はオプションであり、デフォルトは true です。 false に設定し、かつユーザーが第 2 要素 OTP に登録されていない場合、そのユーザーはプロンプト表示なしで正常に認証されます。 true に設定し、かつユーザーが第 2 要素 OTP に登録されていない場合、そのユーザーは認証されません。
"otp-prompt":"Enter OTP %C:"
この値はオプションであり、デフォルトは英語のストリング "Enter OTP %C:" です。 このストリングは、RADIUS チャレンジ・パケットで返され、RADIUS 応答パケット変数 "Reply-Message" (18) へ挿入されます。 多くの RADIUS クライアント (NAS) は、ユーザーから入力が要求されるときにこのストリングを表示します。 プロンプトの %C は OTP 相関 (TOTP の場合は空ストリング) に置換されます。 プロンプトの %% は 1 個の % に置換されます。
"user-name-append": "Verify@Realm"

この値はオプションであり、デフォルトは空ストリング ("") です。この値は、 RADIUS ログオンに提供されるユーザー名に追加されます。 この値をユーザー名とともに使用して、クラウド・ディレクトリー内でユーザーが検索されます。 例えば、RADIUS ユーザーが "scott" で、"user-name-append": "@VerifyRealm" である場合、サーバーはユーザー・レジストリー内で "scott@VerifyRealm" を見つけます。

"use-local-pwd-check":false
この値 システム上で Linux 実行している場合は利用できません。 It is optional and defaults to false. true に設定した場合、パスワードは、クラウド・ディレクトリーではなく、サーバーのローカル・アカウント・データベースで認証されます。
注: ローカルアカウントデータベースとクラウドディレクトリのユーザー名は一致している必要があります。 このオプションを use-external-ldap とともに使用することはできません。
"local-domain":"."
Linux システムで実行している場合、この値は利用できません。 これは、が true の場合 use-local-pwd-check にのみ使用され、ローカルのWindowsパスワード認証チェックに影響を与えます。 ユーザーが Windows ドメイン値を含まないユーザー名を使用して RADIUS にログインすると、RADIUS サーバーは、ドメインが「.」に設定されている Windows アカウントと照合してユーザーを検証します。 ドメインが「.」に設定されている場合、 アカウントのパスワードは、ローカルアカウントデータベースに対してのみ検証されます。 このオプションでは「.」を使用できます Windows ドメイン名を指定するか、空の文字列「」を指定することで上書きされます。
注:
  • RADIUS ユーザー名に「&#xa5;」または「@」の文字が含まれる場合は、その名前の中にドメインが指定されていると見なされます。 例えば、 mydomain\testuser または testuser@mydomain.com などです。
  • RADIUS サーバーでは、ドメイン値に関する追加詳細のために Windows 関数 LogonUserA() が使用されます。 「 LogonUserA 」関数( winbase.h ) を参照 - Win32 apps.
"use-external-ldap":false
この値はオプションであり、デフォルトは false です。 ユーザーは、構成されている LDAP パススルー ID ソースに照らして認証されます。 true に設定する場合は、"identity-source" の値を指定する必要があります。 このオプションを use-local-pwd-check とともに使用することはできません。
"identity-source":"869e5652-bbb1-4f9b-8e55-0ae53d3bc30b"
この値は、"use-external-ldap"true に設定する場合のみ必須です。それ以外の場合はオプションです。 ユーザーの認証に使用する ID ソースを指定します。 https://<tenant>/verify/v1.0/authnmethods/password 設定済みのIDソースとそのIDのリストは、へのGETリクエストによって取得できます。
"choice-prompt":"Please select an authentication method from the list: &#xa5;r&#xa5;n"
この値はオプションです。 デフォルトは空ストリング "" です。 ここでは、選択用の行プロンプトの接頭部を構成できます。 選択用の行プロンプトおよび接頭部は、ユーザーが認証方式を選択する必要があるときに表示されます。
"choice-line-prompt":"Enter %I for %D &#xa5;r&#xa5;n"
この値はオプションです。 ここでは、選択プロンプトの各選択項目をカスタマイズできます。 選択プロンプトは、ユーザーが使用できる選択項目ごとに生成されます。 "%I) %D\r\n"デフォルトは であり、ここで %I は選択肢を選択する文字に置き換えられ、 %D は選択肢の説明文です。
"device-prompt":"A push notification has been sent to your device [%D]. "
この値はオプションです。 ここでは device/fingerprint/userpresence プロンプトをカスタマイズできます。 デフォルトは であり "A push notification has been sent to your device [%D]. Please refresh your IBM Verify application if you did not receive it." 、 の部分は %D デバイス記述に置き換えられます。
“device-choice-prompt”: "&#xa5;r&#xa5;nYou have multiple authenticators, please choose one by entering a number:"
“password-and-device”“auth-method” が使用される場合、ユーザーに複数の登録済みデバイスある可能性があります。 RADIUS サーバーは、使用するデバイスを選択するよう求めるプロンプトをユーザーに出します。 この選択項目は、選択項目のリストの接頭部です。 デフォルトでは、以下の英語メッセージが表示されます:"\r\nYou have multiple authenticators, please choose one by entering a number:"
注: 一部のRADIUSクライアントは、改行文字 \r\n やリターン文字を処理できない場合があります。クライアントが正しく反応しない場合は、フォーマット設定からこれらの文字を除いて再試行してください。
“device-choice-line-prompt”:"&#xa5;r&#xa5;n%I/%T: %D"
デバイスの選択を求めるプロンプトが出されるとき、このパラメーターは各デバイスの選択肢の形式を定義します。 デフォルト値は次のメッセージです:"\r\n%I/%T: %D"
各項の説明は次のとおりです。
  • %I - ユーザーがデバイスを選択するために入力する必要があるデバイスの索引に置き換えられます。
  • %T - デバイスの選択項目の合計数で置き換えられます。
  • %D - ユーザー・デバイスの説明によって置き換えられます。
注: 一部のRADIUSクライアントは、改行文字 \r\n やリターン文字を処理できない場合があります。クライアントが正しく反応しない場合は、フォーマット設定からこれらの文字を除いて再試行してください。
"transients-in-choice":false
"transients-in-choice" の構成行を "true" に設定すると、ユーザーが SMS と E メールのいずれの OTP を受信するように登録されているかにかかわらず、ユーザーのクラウド・ディレクトリー・プロファイルにある属性に基づいて "transient-choices" にリストされた OTP 認証の選択項目がOTP 認証の選択項目として含まれます。
"transient-choices": ["emails", "phoneNumbers"]
この値はオプションです。 デフォルトは ["emails","phoneNumbers"] です。 この設定は、ユーザーが使用できる一時的な OTP 認証の選択項目を制御します。
"no-enrollments-in-choice":false
この値はオプションです。 デフォルトは false です。 "no-enrollments-in-choice" の構成行を "true" に設定すると、ユーザーの登録済み OTP 方式 (TOTP、E メール、SMS など) が認証の選択項目に含まれなくなります。
"poll-device":false
この値はオプションです。 デフォルトは false です。 trueに設定すると、サーバーはユーザーに確認を促して応答を待つのではなく、 に対して検証の状態をポーリング Verify します。
"poll-timeout":"60"
この値はオプションです。 デフォルトは 60 です。 この属性は、デバイス検証が作成された後、サーバーがポーリング Verify を行う最大秒数を設定します。 "poll-device"false に設定されている場合は無効です。
"poll-delay":"2"
このオプションは、各ポーリングの間の遅延を秒単位で決定します。 RADIUSサーバーは、デバイス上でユーザーの認証を受け入れるか拒否するかを判断するために、定期的にポーリング Verify を行います。 デフォルト設定では、2 秒ごとにポーリングが行われます。 その値は、以下の条件を満たさない限り無視されます >= 1 and < (“poll-timeout” / 2)
"auth-method-order": [ "fingerprint", "userPresence" ]
デバイスのPUSHメソッドとその順序を定義します。
"id-link-attr": "userName"
テナントに複数のIDソースが定義されており、IDリンクが使用されている場合、この設定項目は、「user-name-attr」で特定されるユーザーからの属性名を定義します。この属性は、パスワードの検証に使用するユーザー名を識別するものです。 以下に、いくつかの値の例を示します:
  • "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
  • "emails.work"
  • "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
  • "userName"
"user-name-table": [ {{ "from": "{radius-user-name} ", "to": "{isv-user-name}" },... ]
Radiusクライアントから提供されたユーザー名から、username Verify へのマッピングの配列を提供します。
"use-mapping-user-id": false
「id-link-attr」が設定されており、かつこのオプションが true に設定されている場合、「id-link-attr」で参照される認証に使用される設定ではなく、「user-name-attr」で特定されたユーザーの MFA 設定が使用されます。
"require-msg-auth": false
1.0.11.0 以降のバージョンのRADIUSサーバーは、Message-Authenticator属性が存在する場合、常にその署名を検証します。 彼らは常に、レスポンスに「Message-Authenticator」属性の署名を追加します。 Message-Authenticator属性は、RFC 3579の 3.2 節で規定されています。 trueこのオプションが に設定されている場合、RADIUSサーバーがリクエストを処理するには、Access-Requestパケットに Message-Authenticator 属性が含まれており、かつ有効である必要があります。
"reject-bad-packet": false
デフォルトでは、RADIUSサーバーは形式が正しくない、または署名に不備があるリクエストを無視します。 trueこのオプションが に設定されている場合、RADIUSサーバーは Access-Reject レスポンスを返して応答します。