"ibm-auth-api":{}
이 섹션에서는 서버에 IBM® Verify 대한 연결을 설정합니다.
형식
"ibm-auth-api":{
"client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
"protocol":"https",
"host":"xxxx.verify.ibm.com",
"port":"443",
"max-handles":"16"
},값:
- "client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"
- 이 값은 필수입니다. Verify 모듈에 사용할 IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) API 클라이언트를 작성해야 합니다.
- "obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="
- 이 값은 필수입니다. 클라이언트는 IBM Verify 생성 시 클라이언트 시크릿(비밀번호)을 부여받으며, 이를 이 구성 설정에 반드시 설정해야 합니다. obf-client-secret는 난독화된 형태의 클라이언트 시크릿입니다. obf-client-secret 값을 생성하려면 명령을
/opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret사용하십시오.참고: 이 obf-client-secret는 대신 "client-secret" 옵션을 사용하여 일반 텍스트로 제공할 수도 있습니다. 예를 들어."client-secret”:"xxxxxxxxxx" - "protocol":"https"
이 값은 선택사항이며 기본적으로 "https"로 설정됩니다. 이 프로토콜은 서버와 Verify 통신하는 데 사용됩니다. 값 "http" 또는 "https"를 사용할 수 있습니다. https가 사용되고 /etc/pam_ibm_auth.pem 파일이 있는 경우, Verify 서버 인증서 및 서버 이름의 유효성이 검증됩니다.
- "host":"slick.verify.ibm.com"
이 값은 필수입니다. 사용 중인 서버를 Verify 식별합니다.
- "port":443
이 값은 선택사항이며 기본적으로 443으로 설정됩니다. 이 포트는 서버가 Verify 요청을 수신 대기하는 포트입니다.
- "max-handles":16
- 이 값은 선택사항이며 기본적으로 16으로 설정됩니다. 이 값은 사용자 인증을 위해 서버가 IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) 해당 Verify 서버에 설정하는 병렬 연결의 최대 수입니다.
- "authd-port": 12
이 값은 더 이상 지원되지 않습니다.
참고: 프록시를 사용하려면 를 authd-port 비활성화해야 합니다.- "proxy": "http://proxy.ibm.com:1080"
- 이 값은 선택사항이며 기본적으로 프록시를 사용하지 않고 직접 연결을 사용하도록 설정됩니다.테넌트에 Verify 액세스할 수 있도록 프록시를 설정하세요. 이 값은 호스트 이름 또는 점으로 구분된 숫자 IP 주소입니다. 숫자 IPV6 주소는 [대괄호] 안에 있어야 합니다. 이 문자열에 포트 번호를 지정하려면 호스트 이름의 마지막에
:[port]를 추가하십시오. 프록시의 포트 기본값은port :1080입니다. 사용되는 프록시 유형을 지정하기 위해 프록시 문자열에는[scheme]://접두부가 추가될 수 있습니다.authd-port참고: 프록시를 사용하려면 프록시 설정을 구성하고.를 비활성화해야 합니다.- http://
- HTTP 프록시. 스킴 또는 프록시 유형이 지정되지 않는 경우의 기본 유형입니다.
- https://
- HTTPS 프록시. OpenSSL, GnuTLS 및 NSS의 경우 7.52.0에 추가됩니다.
- socks4://
- SOCKS4 프록시.
- socks4a://
- SOCKS4a 프록시. 이 프록시는 URL 호스트 이름을 분석합니다.
- socks5://
- SOCKS5 프록시.
- socks5h://
- SOCKS5 프록시. 이 프록시는 URL 호스트 이름을 분석합니다.
""(으)로 설정하면 환경 변수가 설정된 경우에도 비어 있는 문자열이 프록시 사용을 명시적으로 사용 불가능하게 합니다.프록시 호스트 문자열에는 프로토콜 스킴
http://및 임베디드된 사용자와 비밀번호가 포함될 수도 있습니다. - "proxytunnel":true
- 이 값은 선택사항이며 기본적으로 프록시가 사용되는 경우 true로 설정됩니다.
인수를
proxytunnel로 true 설정하면 테넌트 작업이 HTTP 프록시를 통해 터널링되도록 합니다 Verify . 프록시를 사용한다는 것은 프록시를 통해 터널링한다는 것과 다릅니다. 터널링은 특정 포트 번호의 원격 호스트에 연결하도록 요청하는 HTTP CONNECT 요청이 프록시로 전송되고 트래픽이 프록시를 통해 전달된다는 의미입니다. 프록시는 CONNECT 요청을 허용하는 특정 포트 번호를 허용 목록으로 지정합니다. 일반적으로 포트 80과 443만 허용됩니다. - "token-type": "Bearer"
- "access-token"의 액세스 토큰 유형을 지정합니다.
- "access-token": "{token}"
- 테넌트에 사용할 액세스 토큰을 지정합니다. 액세스 토큰을 이미 알고 있는 경우, 이는 “client-id” 및 “client-secret” 옵션을 사용하는 대신 사용할 수 있는 방법입니다.
- "ca-path": "{path-to-ca-file}"
- 테넌트 서버 인증서의 Verify 허용된 인증 기관 서명자 목록이 포함된 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다.
- "origin-user-agent": "IBM Verify"
- 푸시(기기) 트랜잭션을 시작하기 위해 요청에 포함된 사용자 에이전트를 지정합니다.
- "연결 시간 초과": 10
- 테넌트 REST API에 Verify 대한 작업의 연결 단계가 소요될 수 있는 최대 시간을 초 단위로 지정합니다. 이 타임아웃은 연결 단계에만 적용됩니다. 연결한 후에는 아무런 영향도 없습니다.
- "타임아웃": 40
- 개별 테넌트의 REST API 작업이 소요될 수 있는 최대 시간을 초 단위로 지정합니다.
- "proxy-ca-path": "{path-to-ca-file}"
- 프록시 서버 인증서의 허용된 인증 기관 서명자 목록이 포함된 파일을 지정합니다. 이 텍스트 파일에는 base64 형식의 하나 이상의 PEM CA 공개 키 인증서가 포함되어 있습니다.
- "crl-file": "{path-to-crl-file}"
- 테넌트 Verify REST API 서버의 인증서를 검증하기 위한 CRL을 정의합니다.
- "proxy-crl-file": "{path-to-crl-file}"
- 프록시 서버(대상 Verify 테넌트 REST API 서버가 아님)의 인증서를 검증하기 위한 CRL을 정의합니다.
"ibm-authd":{}
추적 파일은 ibm_authd 프로세스에 대해 설정될 수 있습니다.
"pam":{}
추적 파일은 pam_ibm_auth.so 프로세스에 대해 설정될 수 있습니다.
기타 파일
테넌트 인증서에 대한 검증을 허용하고 제공하는 인증서에 대해 테넌트 호스트 이름이 유효함을 검증하기 위해 /etc/pam_ibm_auth.pem 파일을 설정할 수 있습니다. 이 텍스트 파일에는 하나 이상의 PEM CA 인증서, x509 ASN.1 CA 공개 키의 base64 변환이 포함되어 있습니다.