Configurando o IBM Verify Gateway for RADIUS servidor

Editar online

Este documento explica como configurar o Gateway do IBM® Verify para RADIUS.

Procedimento

  1. Crie credenciais do cliente da API.
    1. Faça login no console IBM Verify de administração como administrador.
    2. Clique em Configuração > Acesso à API > Adicionar cliente da API.
    3. Forneça um nome para o cliente.
      Por exemplo, IBM Verify Gateway.
    4. Marque as caixas de seleção para conceder os direitos de acesso a seguir.
      • Autenticar qualquer usuário
      • Ler a inscrição de autenticação de segundo fator para todos os usuários
      • Ler usuários e grupos
    5. Clique em Salvar.
    6. Localize seu cliente de API na lista e passe o mouse sobre o final da linha para exibir o ícone de edição.
    7. Clique no ícone de edição
      As informações do cliente de API são exibidas.
    8. Copie o ID do cliente e o Segredo para a área de transferência ou clique no ícone de olho para visualizar o segredo e salvar as informações.
      Você precisará dessas informações ao editar o IbmRadius arquivo de configuração.
    9. Clique em Cancelar.
      Nenhuma mudança necessária.
    Para obter mais informações, consulte Criação de clientes de API.
  2. Crie usuários.
    1. Use o IBM Verify console de administração para criar usuários para o Verify Gateway for RADIUS servidor.
      Consulte "Gerenciamento de usuários".
      Para cada usuário que precise de autenticação de dois fatores, é necessário inscrevê-lo em um sistema de OTP, como TOTP, EmailOTP, ou SMSOTP, por meio das APIs de inscrição correspondentes em Verify.
      Observação: O produto servidor RADIUS da IBM não oferece uma função para o cadastro de usuários para OTP.
  3. Edite o IbmRadius arquivo de configuração.
    O IbmRadiusConfig.json arquivo está no formato JSON, com uma modificação não padrão. Você pode comentar partes do arquivo colocando-as entre /* e */.

    Consulte https://www.json.org/ para obter o JSON.

    1. Edite o arquivo JSON com seu editor de texto preferido.
      Para sistemas Windows™ C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      Para sistemas d Linux® /etc/IbmRadiusConfig.json

      Neste exemplo rápido, substitua os valores das variáveis pelo ID do cliente e pelo segredo do cliente definidos em 1.h e atualize o nome do IBM Verify host do servidor que está sendo usado e o IP do Verify Gateway for RADIUS cliente a ser utilizado.

      Atualize o endereço do cliente para que corresponda ao endereço do seu Verify Gateway for RADIUS cliente (NAS), como um servidor VPN ou um módulo PAM RADIUS. O cliente RADIUS precisa ser configurado com o valor do segredo do cliente definido neste arquivo.

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. Edite a seção {} de nível superior.
      É onde estão as Verify Gateway for RADIUS configurações globais. Veja o nível superior {}.
    3. Edite a seção "ibm-auth-api": {}.
      Ele contém os detalhes de conexão com o IBM Verify servidor. Consulte "ibm-auth-api":{}.
    4. Edite a seção "clients": [].
      Ele contém os detalhes de conexão com o IBM Verify servidor. Veja "clientes":[].
    5. Edite a seção "policy":[].
      Ela é uma matriz de políticas que podem incluir condicionalmente os atributos ou aceitar ou aprovar solicitações de autorização. Consulte "política":[].