"ibm-auth-api":{}
このセクションでは、サーバー IBM® Verify への接続を設定します。
フォーマット
"ibm-auth-api":{
"client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
"protocol":"https",
"host":"xxxx.verify.ibm.com",
"port":"443",
"max-handles":"16"
},値:
- "client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
- この値は必須です。 IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) モジュールが使用するための VerifyAPI クライアントを作成する必要があります。
- "obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
- この値は必須です。 クライアントは IBM Verify 作成時にクライアントシークレット(パスワード)が発行され、これをこの設定項目に設定する必要があります。 obf-client-secret は、難読化された形式の client-secret です。
/opt/ibm/ibm_auth/ibm_authd_64 --obf client-secretobf-client-secret の値を生成するには、コマンドを使用してください。注: この obf-client-secret は、代わりに「client-secret」オプションを使用することで、平文で指定することも可能です。 以下に例を示します。"client-secret”:"xxxxxxxxxx" - "protocol":"https"
この値はオプションであり、デフォルトは "https" です。 このプロトコルは、サーバー Verify との通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、/etc/pam_ibm_auth.pemファイルが存在する場合は、Verifyサーバー証明書とサーバー名が検証されます。
- "host":"slick.verify.ibm.com"
この値は必須です。 現在使用しているサーバーを Verify 特定します。
- "port":443
この値はオプションであり、デフォルトは 443 です。 このポートは、サーバーが Verify リクエストを待機しているポートです。
- "max-handles":16
- この値はオプションであり、デフォルトは 16 です。 この値は、ユーザー認証のためにサーバーが IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) サーバー Verify に対して確立する並列接続の最大数です。
- "authd-port": 12
この値は現在サポートされていません。
注: プロキシを使用するには、を authd-port 無効にする必要があります。- "proxy": "http://proxy.ibm.com:1080"
- この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。テナントに Verify アクセスするためにプロキシを設定してください。 値は、ホスト名またはドット付き数字の IP アドレスです。 数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。 このストリングにポート番号を指定するには、ホスト名の末尾に
:[port]を付加します。 プロキシーのポートのデフォルトはport :1080です。 プロキシー・ストリングの前に[scheme]://を付けることで、使用するプロキシーの種類を指定できます。authd-port注: プロキシを使用するには、プロキシ設定を行い、を無効にする必要があります。- http://
- HTTP プロキシー。 スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。
- https://
- HTTPS プロキシー。 OpenSSL、GnuTLS、および NSS 向けに 7.52.0 で追加されました。
- socks4://
- SOCKS4 プロキシー。
- socks4a://
- SOCKS4a プロキシー。 このプロキシーは URL ホスト名を解決します。
- socks5://
- SOCKS5 プロキシー。
- socks5h://
- SOCKS5 プロキシー。 このプロキシーは URL ホスト名を解決します。
""(空ストリング) に設定すると、環境変数が設定されている場合でも、プロキシーの使用が明示的に無効になります。また、プロキシー・ホスト・ストリングには、プロトコル・スキーム
http://と組み込みのユーザーおよびパスワードを含めることもできます。 - "proxytunnel":true
- この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。
引数を
proxytunnelに true 設定すると、テナントの操作が HTTP プロキシを経由して行われるようになります Verify 。 プロキシーの使用は、そのプロキシーを経由するトンネリングとは異なります。 トンネリングは、HTTP CONNECT 要求がプロキシーに送信され、リモート・ホストへの特定のポート番号での接続をそのプロキシーに依頼して、トラフィックがプロキシー経由で渡されることを意味します。 プロキシーは、CONNECT 要求を許可する特定のポート番号を許可リストに登録します。 通常、許可されるポートは、80 と 443 のみです。 - "token-type": "Bearer"
- 「access-token」のアクセストークンタイプを指定します。
- "access-token": "{token}"
- テナントで使用するアクセストークンを指定します。 アクセストークンが既知の場合、これは「client-id」および「client-secret」オプションを使用する代わりに利用できる方法です。
- 「ca-path」: "{path-to-ca-file}"
- テナントサーバー証明書 Verify の署名者として許可される認証局の一覧が記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。
- "origin-user-agent": "IBM Verify"
- プッシュ(デバイス)トランザクションを開始するためのリクエストで送信されるユーザーエージェントを指定します。
- "connect-timeout": 10
- テナント REST API Verify に対する操作の接続フェーズに許容される最大時間を秒単位で指定します。 このタイムアウトは、接続フェーズのみに適用されます。 接続した後は何の影響もありません。
- "timeout": 40
- 個々のテナントのREST API操作に許容される最大処理時間を秒単位で指定します。
- "proxy-ca-path": "{path-to-ca-file}"
- プロキシサーバーの証明書に対して署名を行うことが許可された認証局のリストが記載されたファイルを指定します。 このテキストファイルには、 base64 形式の PEM CA公開鍵証明書が1つ以上含まれています。
- 「crl-file」: "{path-to-crl-file}"
- テナントのREST APIサーバー Verify の証明書を検証するためのCRLを定義します。
- "proxy-crl-file": "{path-to-crl-file}"
- プロキシサーバー(対象 Verify のテナントREST APIサーバーではない)の証明書を検証するためのCRLを定義します。
"ibm-authd":{}
ibm_authd プロセスのトレース・ファイルを設定できます。
"pam":{}
pam_ibm_auth.so モジュールのトレース・ファイルを設定できます。
その他のファイル
/etc/pam_ibm_auth.pem ファイルをセットアップして、テナント証明書の検証を許可し、そのファイルが提供する証明書に対してテナント・ホスト名が有効であることを検証できます。 このテキスト・ファイルには、1 つ以上の PEM CA 証明書、Base64 変換の x509 ASN.1 CA 公開鍵が含まれています。