"ibm-auth-api":{}

このセクションでは、 Verify サーバーへの接続を設定する。

フォーマット

    "ibm-auth-api":{
        "client-id":"xxxxxxxx",
        "obf-client-secret":"xxxxxxxx", 
        "protocol":"https",
        "host":"xxxxx.verify.ibm.com",
        "port":443,
        "max-handles":16
    },

値:

"client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"

この値は必須です。 IBM Verify Gateway for RADIUS サーバーが使用するための IBM® Verify API クライアントを作成する必要があります。必要なアクセス設定については、「RADIUSサーバー用ゲート IBM Verify ウェイの設定」を参照してください。例えば、クライアント ID は次のようになります。

"84e8da25-d7ed-47cc-9782-b852cb64365c"

“obf-client-secret”:"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="

この値は必須です。 IBM Verify APIクライアントは、作成時にクライアント・シークレット（パスワード）が与えられ、このコンフィギュレーション設定で設定する必要がある。 obf-client-secretは難読化された形のクライアント秘密鍵である。 Windowsオペレーティング・システムでは、 IbmRadius.exe -obf client-secret コマンドを使用して難読化されたクライアント・シークレット値を生成する。 Linux オペレーティング・システムでは、

/opt/ibm/ibm_radius/ibm_radius_64 -obf
client-secret

コマンドを使用して難読化されたクライアント・シークレット値を生成する。

注: この obf-client-secret は、代わりに「client-secret」オプションを使用して平文で指定することもできます。以下に例を示します。

"client-secret”:"xxxxxxxxxx"

"protocol":"https"

この値はオプションであり、デフォルトは "https" です。このプロトコルは、 IBM Verify サーバーとの通信に使用されます。 http と https のいずれの値も使用できます。 HTTPS を使用し、cacert.pemファイルが存在する場合は、IBM Verifyサーバー証明書とサーバー名が検証されます。

"host": "slick.verify.ibm.com"

この値は必須です。これは、使用している IBM Verify サーバーを識別します。

"port":443

この値はオプションであり、デフォルトは 443 です。このポートは、 IBM Verify サーバーが要求を listen するポートです。

"max-handles":16

この値はオプションであり、デフォルトは 16 です。この値は、 IBM Verify Gateway for RADIUS サーバーがユーザー認証のために IBM Verify サーバーに対して行う並列接続の最大数です。

"token-type": "ベアラー"

「アクセス・トークン」のアクセス・トークン・タイプを指定します。

"アクセス・トークン": "{token}"

テナントに使用するアクセス・トークンを指定します。これは、アクセス・トークンが既に認識されている場合に、「client-id」および「client-secret」オプションを使用する代わりの方法です。

"ca-path"：" {path-to-ca-file} "

IBM Verify テナント・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。

デフォルトでは、コンフィギュレーション・ファイル・ディレクトリーにある cacert.pem 。

"プロキシー": "{proxy-uri}"

この値はオプションであり、デフォルトは、プロキシーを使用せずに、直接接続を使用します。 IBM Verify テナントにアクセスするプロキシを設定する。値は、ホスト名またはドット付き数字の IP アドレスです。数値 IPv6 アドレスは、[大括弧] 内に記述される必要があります。この文字列にポート番号を指定するには、ホスト名の末尾に [port] を追加します。プロキシーのポートはデフォルトでポート 1080 になります。使用するプロキシーの種類を指定するために、プロキシー・ストリングの前に [scheme]: // を付けることができます。

注： * http:// - HTTP。スキームまたはプロキシーのタイプが指定されない場合のデフォルト・タイプ。

https:// - HTTPS プロキシ。
socks4:// - SOCKS4 プロキシー。
socks4a:// - SOCKS4a プロキシー。このプロキシーは URL ホスト名を解決します。
socks5:// - SOCKS5 プロキシー。
socks5h:// - SOCKS5 プロキシー。

プロキシー・ホスト・ストリングには、プロトコル・スキーム http://、組み込みユーザー、およびパスワードを含めることもできます。

「proxytunnel": true

この値はオプションであり、デフォルトは、プロキシーが使用可能であれば true です。

proxytunnel引数をtrueに設定すると、 IBM Verify テナント操作が HTTP プロキシをトンネルするようになります。プロキシーの使用は、そのプロキシーを経由するトンネリングとは異なります。トンネリングは、HTTP CONNECT 要求がプロキシーに送信され、リモート・ホストへの特定のポート番号での接続をそのプロキシーに依頼して、トラフィックがプロキシー経由で渡されることを意味します。

注: プロキシーは、CONNECT 要求を許可する特定のポート番号を制限することができます。通常、許可されるポートは、80 と 443 のみです。

"origin-user-agent": "IBM Security Verify"

プッシュ (デバイス) トランザクションを開始するために要求で送信するユーザー・エージェントを指定します。

"接続タイムアウト": 10

IBM Verify テナント REST API に対する操作の接続フェーズの最大時間を秒単位で指定します。このタイムアウトは、接続フェーズのみを制限します。接続されると、影響はありません。

"タイムアウト": 40

個々のテナント REST API 操作にかかる最大時間を秒単位で指定します。

"proxy-ca-path"：" {path-to-ca-file} "

プロキシー・サーバー証明書の許可された認証局署名者のリストを含むファイルを指定します。このテキスト・ファイルには、1つ以上のPEM CA公開鍵証明書が base64 形式で含まれている。

デフォルトでは、構成ファイル・ディレクトリーにある cacert.pem ファイルが使用されます。

「crl-file"：" {path-to-crl-file} "

IBM Verify テナント REST API サーバーの証明書を検証するための CRL を定義します。

オプション値は、 IBM Verify テナント REST API サーバーとの TLS 交換時に発生する証明書検証で使用する CRL (PEM 形式) を連結したファイルを指定します。

"proxy-crl-file"：" {path-to-crl-file} "

対象の IBM Verify テナント REST API サーバーではない）プロキシサーバーの証明書を検証するための CRL を定義します。

このオプション値は、プロキシー・サーバーとの TLS 交換中に行われる証明書妥当性検査で使用する CRL (PEM 形式) の連結を含むファイルを指定します。

このオプションは Windows™ ではサポートされていません。

"revoke-best-エフォート": false

IBM Verify テナント REST API への TLS 通信用。これは、そのような動作が存在する TLS バックエンドの配布ポイントが欠落しているかオフラインである場合に、証明書失効検査を無視するかどうかを示します。このオプションは、Windows でのみサポートされます。

"no-revoke": false

IBM Verify テナント REST API への TLS 通信用。これは、そのような動作が存在する TLS バックエンドの証明書失効検査を無効にするかどうかを示します。このオプションは Windows でのみサポートされます。ただし、Windows Untrusted Publisher ブロック・リストがバイパスできないと思われる場合は例外です。このオプションは、「revoke-best-フォート」よりも優先されます。