"ibm-auth-api":{}
このセクションでは、 IBM® Verify サーバーへの接続を設定する。
フォーマット
"ibm-auth-api":{
"client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
"protocol":"https",
"host":"xxxx.verify.ibm.com",
"port":"443",
"max-handles":"16"
},値:
- "client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
- この値は必須です。 IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) モジュールが使用するための VerifyAPI クライアントを作成する必要があります。
- "obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
- この値は必須です。 IBM Verify クライアントは作成時にクライアント・シークレット(パスワード)が与えられ、このコンフィギュレーション設定で設定する必要がある。 obf-client-secretは難読化された形のクライアント秘密鍵である。
/opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret、 obf-client-secret 値を生成する。注: この obf-client-secret は、代わりに「client-secret」オプションを使用して平文で指定することもできます。 以下に例を示します。"client-secret”:"xxxxxxxxxx" - "protocol":"https"
この値はオプションであり、デフォルトは "https" です。 このプロトコルは、 Verify サーバーとの通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、/etc/pam_ibm_auth.pemファイルが存在する場合は、Verifyサーバー証明書とサーバー名が検証されます。
- "host": "slick.verify.ibm.com"
この値は必須です。 これは、使用している Verify サーバーを識別します。
- "port":443
この値はオプションであり、デフォルトは 443 です。 このポートは、 Verify サーバーが要求を listen するポートです。
- "max-handles":16
- この値はオプションであり、デフォルトは 16 です。 この値は、 IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) サーバーがユーザー認証のために Verify サーバーに対して行う並列接続の最大数です。
- "authd-port": 12
この値は現在サポートされていません。
注: プロキシーを使用するには、 authd-port を無効にする必要があります。- "プロキシー": "http://proxy.ibm.com:1080"
- この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。Verify テナントにアクセスするプロキシを設定する。 値は、ホスト名またはドット付き数字の IP アドレスです。 数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。 このストリングにポート番号を指定するには、ホスト名の末尾に
:[port]を付加します。 プロキシーのポートのデフォルトはport :1080です。 プロキシー・ストリングの前に[scheme]://を付けることで、使用するプロキシーの種類を指定できます。注: プロキシーを使用するには、プロキシー設定を構成し、 authd-portを無効にする必要があります。- http://
- HTTP プロキシー。 スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。
- https://
- HTTPS プロキシー。 OpenSSL、GnuTLS、および NSS 向けに 7.52.0 で追加されました。
- socks4://
- SOCKS4 プロキシー。
- socks4a://
- SOCKS4a プロキシー。 このプロキシーは URL ホスト名を解決します。
- socks5://
- SOCKS5 プロキシー。
- socks5h://
- SOCKS5 プロキシー。 このプロキシーは URL ホスト名を解決します。
""(空ストリング) に設定すると、環境変数が設定されている場合でも、プロキシーの使用が明示的に無効になります。また、プロキシー・ホスト・ストリングには、プロトコル・スキーム
http://と組み込みのユーザーおよびパスワードを含めることもできます。 - "proxytunnel":true
- この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。
Verify テナントの操作を HTTP プロキシ経由でトンネルさせるために、
proxytunnel引数を true 。 プロキシーの使用は、そのプロキシーを経由するトンネリングとは異なります。 トンネリングは、HTTP CONNECT 要求がプロキシーに送信され、リモート・ホストへの特定のポート番号での接続をそのプロキシーに依頼して、トラフィックがプロキシー経由で渡されることを意味します。 プロキシーは、CONNECT 要求を許可する特定のポート番号を許可リストに登録します。 通常、許可されるポートは、80 と 443 のみです。 - "token-type": "ベアラー"
- 「アクセス・トークン」のアクセス・トークン・タイプを指定します。
- "アクセス・トークン": "{token}"
- テナントに使用するアクセス・トークンを指定します。 これは、アクセス・トークンが既に認識されている場合に、「client-id」および「client-secret」オプションを使用する代わりの方法です。
- "ca-path":" {path-to-ca-file} "
- Verify テナント・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。 このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。
- "origin-user-agent":"IBM Verify"
- プッシュ (デバイス) トランザクションを開始するために要求で送信されるユーザー・エージェントを指定します。
- "接続タイムアウト": 10
- Verify テナント REST API に対する操作の接続フェーズの最大時間を秒単位で指定します。 このタイムアウトは、接続フェーズのみを制限します。 接続後は影響はありません。
- "タイムアウト": 40
- 個々のテナント REST API 操作にかかる最大時間を秒単位で指定します。
- "proxy-ca-path":" {path-to-ca-file} "
- プロキシー・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。 このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。
- 「crl-file":" {path-to-crl-file} "
- Verify テナント REST API サーバーの証明書を検証するための CRL を定義します。
- "proxy-crl-file":" {path-to-crl-file} "
- 対象の Verify テナント REST API サーバーではない)プロキシ サーバーの証明書を検証するための CRL を定義します。
"ibm-authd":{}
ibm_authd プロセスのトレース・ファイルを設定できます。
"pam":{}
pam_ibm_auth.so モジュールのトレース・ファイルを設定できます。
その他のファイル
/etc/pam_ibm_auth.pem ファイルをセットアップして、テナント証明書の検証を許可し、そのファイルが提供する証明書に対してテナント・ホスト名が有効であることを検証できます。 このテキスト・ファイルには、1 つ以上の PEM CA 証明書、Base64 変換の x509 ASN.1 CA 公開鍵が含まれています。