IBM Verify Gateway for RADIUS サーバーの設定

オンラインで編集

このドキュメントでは、 IBM® Verify ゲートウェイのRADIUS設定方法について説明します。

手順

  1. API クライアントの資格情報を作成します。
    1. IBM Verify 管理者として管理コンソールにログインしてください。
    2. 「設定 」>「 API アクセス 」> 「API クライアントを追加 」をクリックします。
    3. クライアントの名前を指定します。
      例えば、 IBM Verify Gateway。
    4. チェック・ボックスを選択して以下のアクセス権を付与します。
      • 任意のユーザーの認証
      • すべてのユーザーの第 2 要素認証登録の読み取り
      • ユーザーおよびグループの読み取り
    5. 「保存」 をクリックします。
    6. リストからAPIクライアントを探し、行の末尾にカーソルを合わせると編集アイコンが表示されます。
    7. 編集アイコンをクリックします。
      API クライアントの情報が表示されます。
    8. クライアントの ID および秘密鍵をクリップボードにコピーするか、目のアイコンをクリックして秘密鍵を表示し、その情報を保存します。
      設定ファイルを IbmRadius 編集する際には、この情報が必要になります。
    9. 「キャンセル」 をクリックしてください。
      変更は不要です。
    詳細については、 「APIクライアントの作成」 を参照してください。
  2. ユーザーを作成します。
    1. IBM Verify 管理コンソールを使用して、サーバー Verify Gateway for RADIUS のユーザーを作成します。
      「ユーザーの管理」 を参照してください。
      Verify二要素認証が必要なユーザーについては、それぞれに対して、. の関連する登録APIを通じて、TOTP、 EmailOTP,、またはSMSOTPなどのOTPを登録する必要があります。
      注:IBM のRADIUSサーバー製品には、OTP用のユーザー登録機能は搭載されていません。
  3. 設定ファイルを IbmRadius 編集します。
    この IbmRadiusConfig.json ファイルはJSON形式ですが、1か所だけ標準仕様とは異なる変更が加えられています。 */ファイル内の特定の箇所を、 と /* で囲むことで、その部分をコメントアウトできます。

    JSONについては、 https://www.json.org/ を参照してください。

    1. お好みのテキストエディタでJSONファイルを編集してください。
      Windows™ システム向け C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      Linux® システム向け /etc/IbmRadiusConfig.json

      この簡単な例では、 変数の値を「 1.h 」で設定したクライアントIDとクライアントシークレットに置き換え、使用するサーバー IBM Verify のホスト名とクライアントの Verify Gateway for RADIUS IPアドレスを更新してください。

      クライアントのアドレスを、VPNサーバーやPAM RADIUSモジュールなど、お使い Verify Gateway for RADIUS のクライアント(NAS)のアドレスに合わせて更新してください。 RADIUSクライアントには、このファイルで設定したクライアントシークレットの値を指定する必要があります。

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. 最上位の {} セクションを編集します。
      グローバル設定 Verify Gateway for RADIUS が含まれているものです。 トップレベルの{} を参照してください。
    3. "ibm-auth-api": {} のセクションを編集します。
      サーバー IBM Verify への接続情報が含まれています。 「ibm-auth-api」:{} を参照してください。
    4. "clients": [] のセクションを編集します。
      サーバー IBM Verify への接続情報が含まれています。 「clients」:[] を参照してください。
    5. "policy":[] のセクションを編集します。
      これは、条件に応じた属性の追加、許可要求の受け入れ、または許可要求の承認が可能なポリシーの配列です。 「policy」 を参照してください:[].