"ibm-auth-api":{}
このセクションでは、サーバー Verify への接続を設定します。
フォーマット
"ibm-auth-api":{
"client-id":"xxxxxxxx",
"obf-client-secret":"xxxxxxxx",
"protocol":"https",
"host":"xxxxx.verify.ibm.com",
"port":443,
"max-handles":16
},値:
- "client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
- この値は必須です。 IBM Verify Gateway for RADIUS サーバーが使用するための IBM® Verify API クライアントを作成する必要があります。 必要なアクセス設定については、 「RADIUSサーバー用 IBM Verify ゲートウェイの設定」 を参照してください。 例えば、クライアント ID は次のようになります。
"84e8da25-d7ed-47cc-9782-b852cb64365c" - “obf-client-secret”:"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
- この値は必須です。 APIクライアントは IBM Verify 作成時にクライアントシークレット(パスワード)が割り当てられ、この設定項目に設定する必要があります。 obf-client-secret は、難読化された形式の client-secret です。 Windows オペレーティングシステムでは、コマンド
IbmRadius.exe -obf client-secretを使用して難読化されたクライアントシークレット値を生成してください。 Linux オペレーティングシステムでは、コマンド/opt/ibm/ibm_radius/ibm_radius_64 -obf client-secretを使用して難読化されたクライアントシークレット値を生成してください。注: この obf-client-secret は、代わりに「client-secret」オプションを使用することで、平文で指定することも可能です。 以下に例を示します。
."client-secret”:"xxxxxxxxxx" - "protocol":"https"
この値はオプションであり、デフォルトは "https" です。 このプロトコルは、サーバー IBM Verify との通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、cacert.pemファイルが存在する場合は、IBM Verifyサーバー証明書とサーバー名が検証されます。
- "host":"slick.verify.ibm.com"
この値は必須です。 現在使用しているサーバーを IBM Verify 特定します。
- "port":443
この値はオプションであり、デフォルトは 443 です。 このポートは、サーバーが IBM Verify リクエストを待機しているポートです。
- "max-handles":16
- この値はオプションであり、デフォルトは 16 です。 この値は、ユーザー認証のためにサーバーが IBM Verify Gateway for RADIUS サーバー IBM Verify に対して確立する並列接続の最大数です。
- "token-type": "Bearer"
- 「access-token」のアクセストークンタイプを指定します。
- "access-token": "{token}"
- テナントで使用するアクセストークンを指定します。 アクセストークンが既知の場合、これは「client-id」および「client-secret」オプションを使用する代わりに利用できる方法です。
- 「ca-path」: "{path-to-ca-file}"
- テナントサーバー証明書 IBM Verify の署名者として許可される認証局の一覧が記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。
- 「プロキシ」: "{proxy-uri}"
- この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。 テナントに IBM Verify アクセスするためにプロキシを設定してください。 値は、ホスト名またはドット付き数字の IP アドレスです。 数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。 この文字列でポート番号を指定するには、ホスト名の末尾に :[port] を追加してください。 プロキシのポートはデフォルトで :1080 です。 プロキシ文字列の先頭に [scheme]:// を付けることで、使用するプロキシの種類を指定できます。注: * http:// - HTTP プロキシ。 スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。
- https:// - HTTPS プロキシ。
- socks4:// - SOCKS4 プロキシ。
- socks4a:// - SOCKS4a プロキシ。 このプロキシーは URL ホスト名を解決します。
- socks5:// - SOCKS5 プロキシ。
- socks5h:// - SOCKS5 プロキシ。
- "proxytunnel": true
- この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。
- "origin-user-agent": " IBM Security Verify "
- プッシュ(デバイス)トランザクションを開始するためのリクエストで送信されるユーザーエージェントを指定します。
- "connect-timeout": 10
- テナント REST API に対する IBM Verify 操作の接続フェーズに許容される最大時間を秒単位で指定します。 このタイムアウトは、接続フェーズのみを対象としています。 接続後は何の影響もありません。
- "timeout": 40
- 個々のテナントのREST API操作に許容される最大時間を秒単位で指定します。
- "proxy-ca-path": "{path-to-ca-file}"
- プロキシサーバーの証明書に対して署名を行うことが許可された認証局の一覧が記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。
- 「crl-file」: "{path-to-crl-file}"
- テナントのREST APIサーバー IBM Verify の証明書を検証するためのCRLを定義します。
- "proxy-crl-file": "{path-to-crl-file}"
- プロキシサーバー(対象 IBM Verify のテナントREST APIサーバーではない)の証明書を検証するためのCRLを定義します。
- "revoke-best-effort": false
- TLS からテナントREST API IBM Verify への通信について。 これは、証明書失効チェックを無視すべきかどうかを示すものです。これは、そのような動作が存在する TLS バックエンドにおいて、配布ポイントが欠落しているかオフラインの場合に適用されます。 このオプションは Windows でのみサポートされています。
- "no-revoke": false
- TLS からテナントREST API IBM Verify への通信について。 これは、そのような動作が存在する TLS バックエンドにおいて、証明書失効チェックを無効にするかどうかを示すものです。 このオプションはWindowsでのみサポートされていますが、Windowsの「信頼できない発行元」ブロックリストに関しては例外であり、これを回避することはできないようです。 このオプションは「revoke-best-effort」よりも優先されます。