IBM Verify Gateway for RADIUS 서버 구성

온라인에서 편집하기

이 문서는 RADIUS용 IBM® Verify 게이트웨이를 설정하는 방법을 설명합니다.

프로시저

  1. API 클라이언트 인증 정보를 작성하십시오.
    1. 관리자 계정으로 관리 콘솔에 IBM Verify 로그인하십시오.
    2. ‘구성 ’ > ‘API 액세스 ’ > ‘API 클라이언트 추가’를 클릭합니다.
    3. 클라이언트의 이름을 제공하십시오.
      예를 들어, IBM Verify Gateway.
    4. 선택란을 선택하여 다음 액세스 권한을 부여하십시오.
      • 모든 사용자 인증
      • 모든 사용자에 대한 이중 인증 등록 읽기
      • 사용자 및 그룹 읽기
    5. ‘저장’을 클릭하세요.
    6. 목록에서 해당 API 클라이언트를 찾아 행의 끝 부분에 마우스를 올리면 편집 아이콘이 표시됩니다.
    7. 편집 아이콘을 클릭하십시오.
      API 클라이언트 정보가 표시됩니다.
    8. 클라이언트 ID와 시크릿을 클립보드로 복사하거나, 눈 아이콘을 클릭하여 시크릿을 보고 정보를 저장하십시오.
      구성 파일을 IbmRadius 편집할 때 이 정보가 필요합니다.
    9. ‘취소’를 클릭하세요.
      변경이 필요하지 않습니다.
    자세한 내용은 ‘API 클라이언트 만들기 ’를 참조하세요.
  2. 사용자를 작성하십시오.
    1. 관리 콘솔을 IBM Verify 사용하여 서버의 Verify Gateway for RADIUS 사용자를 생성하십시오.
      ‘사용자 관리’를 참조하십시오.
      Verify2단계 인증이 필요한 각 사용자에 대해, 관련 등록 API를 통해 TOTP, EmailOTP, 또는 SMSOTP와 같은 OTP를 등록해야 합니다.
      참고:IBM RADIUS 서버 제품에는 사용자를 OTP에 등록하는 기능이 제공되지 않습니다.
  3. 구성 파일을 IbmRadius 편집하십시오.
    IbmRadiusConfig.json 파일은 JSON 형식이지만, 한 가지 비표준적인 수정이 가해져 있습니다. */파일의 특정 부분을 와 사이에 /* 묶어 주석 처리할 수 있습니다.

    JSON 파일은 https://www.json.org/ 에서 확인하세요.

    1. 원하는 텍스트 편집기를 사용하여 JSON 파일을 편집하세요.
      Windows™ 시스템용 C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      Linux® 시스템용 /etc/IbmRadiusConfig.json

      이 간단한 예제에서, 변수 값을 1.h 에서 확인한 클라이언트 ID와 클라이언트 시크릿으로 대체하고, 사용 중인 서버의 IBM Verify 호스트명과 사용할 클라이언트의 Verify Gateway for RADIUS 클라이언트 IP를 업데이트하십시오.

      VPN 서버나 PAM RADIUS 모듈과 같이 사용자의 Verify Gateway for RADIUS 클라이언트(NAS) 주소와 일치하도록 클라이언트 주소를 업데이트하십시오. RADIUS 클라이언트는 이 파일에서 설정한 클라이언트 시크릿 값으로 구성되어야 합니다.

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. 최상위 레벨 {} 섹션을 편집하십시오.
      전역 설정이 Verify Gateway for RADIUS 포함된 파일입니다. 상위 레벨 {}을 참조하십시오.
    3. "ibm-auth-api": {} 섹션을 편집하십시오.
      여기에는 서버에 IBM Verify 대한 연결 정보가 포함되어 있습니다. “ibm-auth-api”:{}를 참조하십시오.
    4. "clients": [] 섹션을 편집하십시오.
      여기에는 서버에 IBM Verify 대한 연결 정보가 포함되어 있습니다. “clients”:[]를 참조하십시오.
    5. "policy": [] 섹션을 편집하십시오.
      이는 조건부로 속성을 추가하거나, 권한 부여 요청을 수락 또는 승인할 수 있는 정책의 배열입니다. “정책”:[]을 참조하십시오.