PAM 시스템 구성 파일

모듈 인터페이스

module_interface 유형의 auth만 이 pam_ibm_auth.so 모듈에서 지원됩니다.

모듈 이름

모듈 이름은 pam_ibm_auth.so입니다.

모듈 인수

auth sufficient pam_ibm_auth.so auth_method=choice-then-otp 

[otp-prompt=Enter OTP %C- ]

user_env= {name}

하류 PAM 모듈을 위해 " {name} = {user-json} "을 포함하는 PAM 환경 변수를 추가하십시오. {user-json} 의 값은 사용자 정보를 IBM Verify JSON 형식으로 포함하는 문자열입니다. 주로 PAM 모듈 개발자가 IBM PAM 모듈과 연동할 수 있도록 지원하기 위해 사용됩니다.

prompt_choice_start= {prompt}

{prompt} 문자열은 2FA 선택 항목 목록 바로 앞에 출력됩니다. 예를 들어, ` {prompt} ` 파일에 "다음 중 하나를 선택하십시오:\n"이 포함되어 있다면 다음과 같이 표시될 수 있습니다:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_choice_end= {prompt}

{prompt} 문자열은 2FA 선택 항목 목록 바로 앞에 출력됩니다. 이 {prompt} 내의 모든 %T 값은 선택지의 총 개수를 나타내는 숫자로 대체됩니다. 예를 들어, {prompt} 파일에 "Your choice (1->%T):"가 포함되어 있다면 다음과 같은 메시지가 표시될 수 있습니다:

Choose one of:
1) user@us.ibm.com
2) 15551234567
3) TOTP
Your choice (1->3):

prompt_trans_email= {prompt}

prompt_trans_sms= {prompt}

prompt_totp= {prompt}

prompt_email= {prompt}

prompt_sms= {prompt}

prompt_voice= {prompt}

prompt_device_presence= {prompt}

prompt_device_biometric= {prompt}

이 인자들은 각 ` 2FA ` 유형에 대해 프롬프트 옵션을 사용자 정의합니다. 다음과 같은 치환을 적용할 수 있습니다:

• %I 2FA 옵션 인덱스
• %N ‘ 2FA ’ 옵션 이름과 연결된 값(예: 이메일 주소)
• %T 선택 항목의 총 개수

예를 들어, prompt_trans_sms="%I) 확인되지 않은 SMS %N\n"인 경우 다음과 같은 메시지가 표시될 수 있습니다:

Choose one of:
1) user@us.ibm.com
2) Unvalidated SMS 15551234567
3) TOTP
Your choice (1->3):

참고: 이러한 옵션을 사용하면 PAM 모듈의 인수가 지나치게 길어져 관리가 어려워질 수 있습니다. 이 문제를 해결하기 위해 많은 모듈 인수를 파일로 /etc/pam_ibm_auth.json 옮길 수 있습니다. 이 파일의 "pam" 객체 아래에 있는 "additional-args" 기능을 참조하십시오.

device_prompt= {prompt}

이 옵션이 설정된 경우, 사용자가 2FA 기기에서 승인을 해야 할 때 지정된 메시지가 표시됩니다. SSH와 함께 사용하는 방법. 몇 가지 한계가 있습니다. 일부 SSH 서버는 (입력을 요청하지 않고) 메시지를 전달하지만, 그렇지 않은 서버도 있습니다. 기본적으로 알림 메시지는 전송되지 않으며, 알림은 사용자의 기기에 따라 표시됩니다.

user_name_attr= {attr_name}

PAM에 제공된 사용자 이름을 해당 Verify 사용자에게 포함된 속성과 대조하여 해당 IBM Verify 사용자와 매핑합니다. 예를 들어, PAM 사용자 이름을 ‘other Username’이라는 사용자 지정 속성에 Verify 추가할 수 있습니다. 해당 사용자 정의 속성은 다음을 지정합니다

user_name_attr=urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName

기본적으로 PAM 사용자 이름과 일치하는 사용자를 Verify 찾기 위해 "userName" 사용자 속성이 사용됩니다.

gecos_match= {regex}

gecos_replace= {replace_format}

이러한 인수는 메서드의 gecos_field/gecos_separator 대안으로 사용됩니다. {regex} 는 사용자의 GECOS 값과 일치시키는 데 사용되며, 해당 값을 추출하여 형식에 gecos_replace 전달합니다. 정규 표현식에 대한 자세한 내용은 regex(7) 매뉴얼 페이지를 참조하십시오.

이 {replace_format} 값은 사용자 이름을 Verify 생성하는 데 사용됩니다. 모든 $N(여기서 N은 1부터 9까지)은 {replace_format} {regex} 일치 결과에서 해당 정규 표현식 원자(pat)로 대체됩니다.

예를 들면 다음과 같습니다.

[gecos_match=^([^/\]+)/([^/\]+)/([^/\]+)] [gecos_replace=$3/$1@MyRealm]

참고: PAM [arg] 방식을 사용할 때, arg 내에 포함된 ] 문자는 \를 사용하여 따옴표로 묶어야 합니다.

GECOS 필드가 라면 "Test User/+15551234567/ibm.com" 생성된 사용자는 "ibm.com/Test User@MyRealm"

debug

이 인수는 표준 PAM 모듈 옵션입니다. 시스템 로그 파일에 대한 디버깅 정보를 로깅하려면 syslog() 호출을 사용하십시오.

nowarn

이 인수는 표준 PAM 모듈 옵션입니다. nowarn 옵션은 비밀번호 만료 경고 등의 경고 생성을 사용 안함으로 설정합니다.

ibm_auth_config={config-file}

명시되지 않은 경우, Linux 및 UNIX™ 시스템의 기본값은 입니다 /etc/pam_ibm_auth.json . 이 파일에는 서버 연결 정보가 Verify 포함된 IBM 인증 API 구성 설정이 들어 있습니다. 모듈 구성 파일을 참조하십시오.

auth_method={auth_method}

이 인수는 선택사항이며 기본적으로 TOTP 유효성 검증으로 설정됩니다. 이 인수는 사용자를 인증하는 데 필요한 인증 메소드입니다. 다음 인증 메소드 목록에는 먼저 비밀번호를 승인하는 일부 메소드가 있습니다. 이 메서드에서 ‘비밀번호’는 UNIX 비밀번호가 아니라 사용자 비밀번호를 Verify 의미합니다.

참고: 이전에 시작된 PAM 모듈에 비밀번호가 제공된 경우(예: pam_unix.so ), 해당 비밀번호는 비밀번호가 필요한 모든 Verify auth methods 작업에 사용됩니다. 앞서 입력한 비밀번호와 현재 입력한 비밀번호가 Verify 일치하지 않으면 인증에 실패합니다. 이 문제는 알려진 제한사항입니다.

표 1. 허용되는 값

값	설명
비밀번호	유효한 Verify 비밀번호가 필요합니다.
password-and-totp	비밀번호와 Verify TOTP 값을 하나의 값으로 입력해야 합니다. 이 값에서 비밀번호가 먼저인지 또는 TOTP 값이 먼저인지를 구성할 수 있고 두 값을 분리하는 데 사용되는 문자를 구성할 수 있습니다. 기본적으로 형식은 TOTP:password입니다.
password-then-totp	비밀번호를 Verify 입력해야 하며, 입력에 성공하면 TOTP 값을 입력하라는 메시지가 표시되고 해당 값이 검증됩니다.
totp	TOTP 값이 요청되고 유효성 검증됩니다.
password-then-smsotp	비밀번호를 Verify 입력해야 하며, 입력에 성공하면 사용자의 등록된 휴대전화로 일회용 비밀번호(OTP)가 포함된 SMS 메시지가 전송됩니다. 그런 다음 PAM 모듈은 사용자에게 SMSOTP 값을 요청하고 이를 유효성 검증합니다.
smsotp	SMS OTP 유효성 검증이 시작되고, SMS OTP 값이 요청되고 유효성 검증됩니다.
password-then-emailotp	비밀번호를 Verify 입력해야 하며, 입력에 성공하면 OTP 값이 포함된 이메일 메시지가 사용자에게 전송됩니다. PAM 모듈이 EmailOTP 값을 요청하고 이를 유효성 검증합니다.
emailotp	이메일 OTP 유효성 검증이 시작되고, PAM 모듈이 이메일 OTP 값을 요청하고 이를 유효성 검증합니다.
password-then-choice-then-otp	비밀번호를 Verify 입력해야 하며, 입력에 성공하면 사용자에게 등록된 일회용 비밀번호(OTP) 중 하나를 선택하라는 메시지가 표시됩니다. 이를 선택하면 OTP 유효성 검증이 시작되고 사용자에게 OTP 값을 지정하라는 프롬프트가 표시됩니다. 참고: 사용자가 하나의 OTP 메소드만 등록하는 경우 선택 단계를 건너뛰고 사용자에게 직접 OTP 값을 요청합니다. 사용자에게 OTP 등록 항목이 없는 경우에는 "reject-on-missing-auth-method"가 적용됩니다. "add_devices_to_choice" 옵션을 사용하면 디바이스 옵션이 목록에 추가됩니다. 추가된 항목에 대한 세부사항은 디바이스 인증 메소드를 참조하십시오. "transients_in_choice" 옵션을 사용하면 임시 이메일과 sms 소스가 옵션으로 나열됩니다. "voice_in_choice" 옵션이 사용 가능하면 음성 OTP가 옵션으로 나열됩니다.
choice-then-otp	사용자에게 OTP 등록 중 하나를 선택하도록 요청합니다. 이를 선택하면 OTP 유효성 검증이 시작되고 사용자에게 OTP 값을 지정하라는 프롬프트가 표시됩니다. 참고: 사용자가 하나의 OTP 메소드만 등록하는 경우 선택 단계를 건너뛰고 사용자에게 직접 OTP 값 또는 디바이스 검증을 요청합니다. 사용자에게 OTP 등록 항목이 없는 경우에는 reject-on-missing-auth-method가 적용됩니다. "add_devices_to_choice" 옵션을 사용하면 디바이스 옵션이 목록에 추가됩니다. 추가된 항목에 대한 세부사항은 디바이스 인증 메소드를 참조하십시오. "transients_in_choice" 옵션을 사용하면 임시 이메일과 sms 소스가 옵션으로 나열됩니다. "voice_in_choice" 옵션이 사용 가능하면 음성 OTP가 옵션으로 나열됩니다.
password-then-device	비밀번호를 Verify 입력해야 하며, 입력에 성공하면 사용자는 휴대폰의 ‘ IBM Verify ’ 앱을 통해 본인 인증을 진행해야 합니다.
디바이스	사용자에게 휴대전화에서 IBM Verify App을 사용하여 자체적으로 유효성 검증하도록 요청합니다. 사용 가능한 디바이스가 여러 개인 경우 사용자에게 선택하라는 프롬프트가 표시됩니다. userPresence"add_devices_to_choice="참고: 이 옵션은 또는 중 어느 것을 사용할지 fingerprint 결정합니다. 특정한 디바이스에는 두 속성 중 하나만 사용할 수 있습니다.
password-then-transsmsotp	비밀번호를 Verify 입력해야 하며, 비밀번호 입력이 성공하면 사용자에게 휴대폰으로 전송된 SMS의 일회용 비밀번호(OTP)를 입력하라는 메시지가 표시됩니다. 전화번호는 해당 사용자 레코드에 설정된 전화번호 중 하나입니다.
transsmsotp	사용자에게 SMS로 보낸 OTP를 휴대전화에 제공하도록 요청합니다. 전화번호는 해당 사용자 레코드에 설정된 전화번호 중 하나입니다.
password-then-transemailotp	비밀번호를 Verify 입력해야 하며, 비밀번호 입력이 성공하면 사용자에게 이메일로 전송된 일회용 비밀번호(OTP)를 입력하라는 메시지가 표시됩니다. 이메일 주소는 해당 사용자 레코드에 설정된 이메일 주소입니다.
transemailotp	사용자에게 이메일로 보낸 OTP를 제공하도록 요청합니다. 이메일 주소는 해당 사용자 레코드에 설정된 이메일 주소입니다.
voiceotp	사용자의 전화기로 전화가 걸려오고 음성 메시지가 로그인의 유효성을 검증하기 위해 사용해야 하는 OTP 값을 사용자에게 알려줍니다.
비밀번호 입력 후 음성 OTP	비밀번호를 IBM Verify 입력해야 합니다. 정보가 성공적으로 제공되면 사용자의 휴대폰으로 전화가 걸려오며, 음성 메시지를 통해 로그인 인증에 사용해야 할 OTP 번호가 안내됩니다.
비밀번호 및 TOTP 또는 기기	사용자가 입력한 비밀번호에서 TOTP 값이 감지되면, 해당 password-and-totp 메서드에 상응하는 처리가 수행됩니다. 자세한 내용은 password-and-totp를 참조하십시오. 사용자가 입력한 비밀번호에서 TOTP 값이 감지되지 않으면, 해당 password-and-device 메서드와 동등한 방식이 사용됩니다. 자세한 내용은 password-then-device를 참조하십시오. 참고: 사용자의 실제 비밀번호가 6자리 숫자와 구분 기호로 시작하거나 끝나는 경우, RADIUS 서버에서 이를 내장된 TOTP 값으로 오인할 수 있습니다. 예를 들어, 해당 password-first 옵션이 false로 설정되어 있고 비밀번호가 6자리 숫자와 구분 기호로 시작합니다. 마찬가지로, 이 값이 true로 설정되어 있고 비밀번호가 구분 기호와 6자리 숫자로 끝나는 경우에도 동일한 조건이 적용됩니다. 어느 경우든, 디바이스 푸시 기능은 RADIUS 인증의 두 번째 인증 수단으로 사용할 수 없습니다. RADIUS 서버는 이를 TOTP 값으로 해석하여 유효성을 확인합니다. 검증이 실패하여 인증이 거부됩니다.

"password"가 auth-method 값의 일부가 아닌 경우(예: "device") 표준 UNIX/Linux PAM 모듈 앞에 libpam_ibm_auth.so 모듈을 접두어로 붙여 두 가지 요인을 형성하기 위해 로컬 비밀번호를 인증할 수 있습니다. 비밀번호가 없는 인증의 경우 이를 제외할 수도 있습니다.

accept_on_missing_auth_method

이 인수는 선택사항입니다. 이를 설정하고 사용자가 2단계 인증(FA)에 등록되지 않은 경우에는 사용자가 인증됩니다. 이 옵션을 설정하지 않고 사용자가 2단계 인증(FA)에 등록되지 않은 경우에는 사용자가 인증되지 않습니다.

otp_prompt={promt_str}

이 인수는 선택사항이 기본적으로 영어 문자열 "Enter OTP %C- "로 설정됩니다. 사용자에게 OTP 입력을 요청할 때 이 문자가 표시됩니다. 프롬프트의 %C는 OTP 상관, 또는 TOTP를 위한 빈 문자열로 대체됩니다. 프롬프트의 %%는 하나의 %로 대체됩니다.

password_first

이 인수는 선택사항입니다. 이는 "password-and-totp" auth-method에만 영향을 주며, 사용자가 제공해야 하는 문자열의 비밀번호 및 TOTP 값의 순서를 판별합니다. 일반적으로 비밀번호는 구분 기호 문자 totp:password 뒤에 있는 문자열의 맨 끝에서 제공됩니다. 이 인수를 설정하면 비밀번호를 구분 기호 문자 password:totp 앞에 있는 문자열의 맨 앞에 제공해야 합니다.

password_separator={sep_char}

이 인수는 선택사항이며 기본적으로 비밀번호 구분 기호 :(콜론)으로 설정됩니다. 이는 "password-and-totp" auth-method에만 영향을 주며, TOTP 및 비밀번호 값의 분리를 위해 사용자가 사용해야 하는 문자를 지정합니다.

verify_method_order={order}

이 인수는 선택사항이며 기본적으로 "fingerprint,userPresence"로 설정됩니다. 이 옵션은 두 개 중 우선순위가 높은 항목을 선택합니다. 기본 순서는 fingerprint를 우선합니다(있는 경우).

userPresence참고: "add_devices_to_choice"가 활성화된 경우, auth_method 옵션은 "device" 또는 fingerprint 중 하나의 방법만 사용합니다.

verify_message={message}

이 인수는 선택 사항이며 기본값은"Do you approve the request from {hostname}?"여기서, {hostname}은 PAM 모듈이 실행되고 있는 호스트 이름으로 대체됩니다. "device" auth_method가 사용되면 액세스 확인을 위해 사용자에게 프롬프트가 제시될 때 사용자의 디바이스에 이 메시지가 표시됩니다.

append={string}

이 인수는 선택사항이며 기본적으로 ""로 설정됩니다. UNIX 사용자 이름을 일반 Verify 사용자 이름으로 매핑하는 과정이 끝날 때, 이 문자열이 결과 Verify 사용자 이름 뒤에 추가됩니다. 일반적인 사용 사례로는 사용자에게 사용자 도메인을 Verify 추가하는 것이며, 예를 들어 “ w3id ”@www.ibm.com" 사용자 도메인의 경우와 같습니다.

add_devices_to_choice

이 인수는 선택사항이며 기본적으로 "choice-then-otp" 및 "password-then-choice-then-otp" 인증 메소드에 사용자의 디바이스 등록을 추가하지 않는 것으로 설정됩니다. 이 인수를 설정하면 디바이스 등록이 2FA의 선택사항 목록에 추가됩니다.

exempt_group={unix_group_name}

이 값은 선택사항이며 기본적으로 exempt_group 없음으로 설정됩니다. 이 인수가 설정되면, 지정된 UNIX 그룹을 기준으로 UNIX 사용자 로그인이 ‘ 2FA ’ 인증에서 제외되는지 여부가 결정됩니다. UNIX 사용자가 그룹에 있는 경우 인증이 면제되고 2FA에 대한 요청을 받지 않습니다.

2fa_group={unix_group_name}

이 값은 선택사항입니다. 이 옵션이 설정되면, 지정된 UNIX 그룹을 기준으로 UNIX 사용자 로그인 시 인증 정보( 2FA )가 필요한지 여부가 결정됩니다. 이 옵션이 설정되어 있고 UNIX 사용자가 해당 그룹에 속해 있지 않은 경우, 사용자에게 ‘ 2FA ’를 입력하라는 메시지가 표시되지 않습니다.

retry={num_retries}

이 인수는 선택사항이며 기본값은 3입니다. 올바르지 않은 2FA 값(예: 잘못된 TOTP 값)을 제공하는 경우 사용자의 재시도 횟수를 정의합니다. 또한 선택 단계 중에 사용할 OTP 유형을 선택하는 재시도 횟수도 정의합니다.

failmode_insecure

이 값은 선택사항이며 기본적으로 안전한 failmode로 설정됩니다. 이 인수는 PAM 모듈이 Verify 서버에 Verify 연결할 수 없는 경우의 동작에 영향을 미칩니다. 이 인수가 설정된 경우, 서버에 Verify 연결할 수 없을 때 2FA 인증이 성공합니다. 이 옵션이 설정되지 않은 경우, 서버에 Verify 연결할 수 없으면 ` 2FA `가 필요한 모든 인증이 실패합니다.

gecos_field={field_number}

이 인수는 선택사항이며 기본적으로 사용자의 GECOS 필드를 사용하지 않도록 설정됩니다. 1에서 32 사이의 값으로 설정하면, UNIX 사용자로부터 지정된 GECOS 필드가 사용자 이름으로 Verify 사용됩니다. append 옵션은 여전히 이 값에 영향을 줍니다. 첫 번째 GECOS 필드는 필드 번호 1로 정의됩니다.

gecos_separator={char}

이 인수는 선택사항이며 기본적으로 ,(쉼표)로 설정됩니다. 이 값은 GECOS 필드 구분 문자를 정의합니다.

id={pam_module_id}

이 인수는 선택사항이며 기본적으로 "pam_ibm_auth"로 설정됩니다. 사용자 인증을 위해 구성된 PAM 모듈 집합 내에 동일한 Verify PAM 모듈이 두 개 이상 존재하는 경우, 각 인스턴스에는 고유한 ID가 부여되어야 합니다. 그렇지 않으면, 모듈이 서로 방해할 수 있습니다.

identity_source={id}

이 인수는 선택사항이며 기본적으로 클라우드 디렉토리 ID 소스를 사용하도록 설정됩니다. 이 인수를 설정하면 사용자를 인증하는 데 사용하는 ID 소스를 지정합니다. 사용자가 구성된 LDAP 패스스루 ID 소스에 대해 인증됩니다. 구성된 신원 소스 모음과 해당 ID는 다음 주소로 요청을 GET 보내면 확인할 수 있습니다: https://<tenant>/verify/v1.0/authnmethods/password.

ignore_isvalidated

이 값은 선택사항이며 기본적으로 false로 설정됩니다. true로 설정되면 유효성 검증되지 않는 경우에도 PAM 모듈이 관련 2FA 메소드의 사용을 시도합니다.

transients_in_choice

이 인수는 OTP 인증에 사용된 메소드의 목록에 임시 이메일과 전화번호를 추가합니다.

voice_in_choice

이 인수는 OTP로 인증하는 데 사용되는 메소드 목록에 음성 OTP를 추가합니다.

transient_choices={choices}

이 인수는 사용 가능한 임시 메소드와 선택사항을 나열합니다. 인수의 값은 하나 이상의 "emails" 및 "phoneNumbers"여야 합니다. 각 선택사항은 ,(쉼표)로 분리되어야 합니다.

poll_timeout={seconds}

이 인수는 사용자가 해당 디바이스로부터 로그인을 유효성 검증하기 위해 기다리는 시간을 지정합니다. 이 시간이 초과되면 로그인에 대한 제한시간 초과와 실패가 발생합니다.

no_enrollments_in_choice

이 인수는 선택사항에 SMS, 이메일 또는 TOTP 등록을 추가하지 않음을 지정합니다. 선택사항을 사용할 수 있도록 하려면 transients_in_choice 또는 add_devices_to_choice나 둘 다를 구성해야 합니다.

id_link_attr= {attr_name}

테넌트에 여러 신원 소스가 정의되어 있고 신원 연결을 사용하는 경우, 이 구성 항목은 "user_name_attr"로 지정된 위치에서 찾아낸 사용자의 속성 이름을 정의하며, 이 속성은 비밀번호를 검증할 때 사용할 사용자 이름을 식별하는 데 사용됩니다. {attr_name} 의 예시 값:

• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
• "emails.type%20eq%20%22work%22%20and%20emails.value"
• "urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
• "userName"

`choice auth_methods`에 제공된 ` 2FA ` 메서드 정의

auth_methods 선택 항목에 표시된 2단계 인증 유형을 활성화하거나 비활성화하는 방법.