"clients":[]

A seção é uma matriz que contém detalhes sobre cada cliente RADIUS (NAS) que usa este servidor RADIUS.

Formato

“clients”:[
  {
    “name”:”client1”,
    “client-id”:”xxx”,
    …
  },
  {
    “name”:”client2”,
    “client-id”:”xxx”,
    …
  },
  …
]

Values

"name": " client1 "

O valor do nome da entrada do cliente. Isso deve ser exclusivo para todos os clientes

"obf-secreto": "fgb3A1/rOkxW0ogmlJ5Ex23PMrn9/vDrb93YFMwJ/Jg="

O valor do segredo ofuscado. Use como uma alternativa preferível à opção "secret".

Para gerar esse valor, use o seguinte comando em sistemas Windows (localizados em C:\Program Files\IBM\IbmRadius\)

IbmRadius.exe -obf
        "the-client-secret"

Use o comando a seguir em sistemas Linux

/opt/ibm/ibm_radius/ibm_radius_64 --obf
        "the-client-secret"

"voice-in-choice": falso

Inclui a voz registrada do usuário 2FA na lista de opções 2FA disponíveis para o usuário durante a autenticação.

"verify-message": "Você aprova essa solicitação de client1 ?"

A mensagem enviada para o dispositivo que é usado para aprovação 2FA para solicitar o usuário. Por padrão, a mensagem enviada é"Do you approve this request from {name} ?"em que {name} é o valor "name":"client" .

"nome de usuário-atributo": "userName"

Mapeia o nome de usuário que é fornecido ao RADIUS para um usuário IBM® Verify , com base na correspondência de um atributo contido no usuário Verify . Por exemplo, o nome de usuário do RADIUS pode ser adicionado a um atributo personalizado do usuário do IVerify chamado otherUserName. Esse atributo customizado especifica

"user-name-attr": "urn:ietf:params:scim:schemas:extension:ibm:2.0:User:customAttributes.otherUserName"

Por padrão, o atributo de usuário "userName" é usado para localizar o usuário Verify que corresponde ao nome de usuário RADIUS.

"ignore-isvalidado": false

Quando configurado como true, o cliente RADIUS pode usar métodos 2FA que não foram validados..

"use-first-device": falso

Quando configurado como true e o "auth-method" for "password-and-device", o cliente RADIUS usará o primeiro dispositivo listado para o usuário, mesmo se o usuário tiver vários dispositivos para 2FA.

"prompts": {}

Esse bloco de configuração customiza o prompt de opção 2FA As seguintes entradas podem estar dentro deste bloco de configuração:

"choice-start":{prompt}"

A sequência {prompt} é saída imediatamente antes da lista de opções de 2FA

"choice-end":{prompt}"

A sequência {prompt} é gerada imediatamente após a lista de opções 2FA . Qualquer valor " %T dentro desse " {prompt} é substituído por um número que representa o número total de opções.

"trans-email": " {prompt} "

"trans-sms": " {prompt} "

"totp": " {prompt} "

"email": " {prompt} "

"sms": " {prompt} "

"voice": " {prompt} "

"device-presence": " {prompt} "

"dispositivo-biométrico": " {prompt} "

Esses argumentos customizam a opção de prompt para cada tipo de 2FA As seguintes substituições podem ser aplicadas:

%I O índice da opção 2FA
%N O valor associado ao nome da opção 2FA (por exemplo, um endereço de email)
%T O número total de opções

Por exemplo, se a configuração " prompts for

"prompts": {
    "choice-start": "Choose one of:\n",
    "email": "%I) %D\n",
    "sms": "%I) %D\n",
    "totp": "%I) TOTP\n",
    "choice-end": "Your choice (1->%T) "
},

então, as opções de 2FA resultantes podem ter a seguinte aparência

Choose one of:
1) us**@us.ibm.com
2) #######4567
3) TOTP
Your choice (1->3)

"secret":"passw0rd"

Este valor é necessário. Essa senha é o segredo compartilhado entre o servidor IBM RADIUS e o cliente RADIUS (NAS). O valor é usado para criptografar senhas e assinar pacotes de resposta entre o servidor e o cliente.

Nota: esse segredo pode ser configurado em uma forma ofuscada Use o comando

IbmRadius.exe -obf
<password>

para gerar a versão ofuscada e usar a configuração alternativa:

“obf-client-secret”:”KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=”,

"address":"192.168.0.129"

Este valor é necessário. Este é o endereço IP de onde provêm os pacotes do cliente RADIUS (NAS) e para o qual as respostas são retornadas. O endereço é usado para a correspondência entre o cliente RADIUS (NAS) e o valor de segredo adequado.

"mask": "255.255.255.255"

Esse valor é opcional e é padronizado como "255.255.255.255". Esta configuração é uma máscara de rede que, juntamente com a definição de configuração "address", é usada para a correspondência entre um cliente de entrada e um cliente RADIUS. Uma máscara de "255.255.255.255" significa que um cliente recebido deve ter o endereço IP exato como "address" a ser correspondido. Uma máscara de "0.0.0.0" significa que qualquer cliente de entrada pode ser correspondido a esse cliente. Uma máscara de "255.255.0.0" faz a correspondência entre os clientes de entrada cujos dois primeiros octetos de endereço IP correspondem aos dois primeiros octetos de endereço IP em "address". Se houver vários clientes correspondentes, a correspondência que tiver a máscara "mais específica" será escolhida. Por exemplo, para dois clientes:

Client1 address: 192.168.0.0, mask: 255.255.255.0

Client2 address: 192.168.0.1, mask: 255.255.255.255

Se o endereço do cliente de entrada for 192.168.0.1, ele corresponderia a Client2.
Se o endereço do cliente de entrada for 192.168.0.2, ele corresponderia a Client1.
Se o endereço do cliente de entrada for 192.168.1.1, ele não corresponderia a nenhum cliente.

"auth-method":"password-then-smsotp"

Esse valor é opcional e é padronizado como “password”. Este é o método de autenticação necessário para autenticar usuários. Os valores aceitáveis são os seguintes:

Tabela 1. Valores aceitos
Valor	Descrição
dispositivo	Somente uma operação do dispositivo 2FA é verificada. O valor da senha é ignorado. Caso contrário, esse método de autenticação se comporta da mesma forma que a senha e o dispositivo.
Senha	Apenas uma senha válida é necessária.
password-and-totp	Uma senha mais um valor TOTP devem ser fornecidos em um valor único. É possível configurar se a senha ou o valor de TOTP será o primeiro no valor. Consulte a configuração `password-first`. Para configurar o caractere usado para separar os dois valores, consulte a configuração `password-separator`.
password-then-totp	Após o fornecimento de uma senha válida, é enviado um desafio RADIUS que solicita o valor de TOTP.
password-then-smsotp	Após o fornecimento de uma senha válida, é enviada para o dispositivo móvel registrado do usuário uma mensagem SMS com um valor de OTP. Em seguida, é enviado um desafio RADIUS, solicitando o valor de SMSOTP.
password-then-emailotp	Após o fornecimento de uma senha válida, é enviado para o usuário um e-mail com um valor de OTP. Em seguida, é enviado um desafio RADIUS, solicitando o valor de EmailOTP.
password-then-transsmsotp	Após o fornecimento de uma senha válida, é enviada para o número de telefone no perfil do usuário uma mensagem SMS com um valor de OTP. É enviado um desafio RADIUS, solicitando o valor de OTP. Ao contrário de `password-then-smsotp`, o número de telefone do usuário não precisa ser cadastrado para o OTP de SMS.
password-then-transemailotp	Após o fornecimento de uma senha válida, é enviado para o endereço de e-mail no perfil do usuário um e-mail com um valor de OTP. É enviado um desafio RADIUS, solicitando o valor de OTP. Ao contrário de `password-then-emailotp`, o endereço de e-mail do usuário não precisa ser inscrito para o OTP do e-mail.
password-then-choice-then-otp	Após o fornecimento de uma senha válida, um desafio RADIUS é enviado, solicitando a escolha de uma das inscrições de OTP do usuário a ser usada. Após o envio da opção, é enviado um desafio RADIUS que solicita o valor de OTP da opção. Nota: Se o usuário estiver inscrito somente em um método de OTP, a etapa de opção do desafio será ignorada e o usuário será desafiado diretamente para o valor de OTP. Se o usuário não tiver inscrições de OTP, reject-on-missing-auth-method entrará em vigor.
password-and-device	Após o fornecimento de uma senha válida, um desafio RADIUS é enviado, solicitando a escolha de um dos dispositivos registrados válidos do usuário a serem usados. Após o envio da opção de dispositivo, um desafio RADIUS é enviado, correspondente ao mecanismo de autenticação de propriedade mais alto que é suportado pelo dispositivo. Nota: Os mecanismos de autenticação, como Face, Impressão digital ou Presença do usuário podem ser configurados pelo administrador. Se mais de um mecanismo estiver ativado, eles serão manipulados em uma ordem de prioridade. O mecanismo de prioridade mais alta suportado pelo dispositivo selecionado sempre será escolhido. Para que um dispositivo registrado seja válido, ele deve suportar pelo menos um mecanismo de autenticação válido que seja configurado pelo administrador. Caso haja apenas um dispositivo registrado que suporta os mecanismos válidos, a etapa de opção de dispositivo será ignorada. O usuário será desafiado com o mecanismo de prioridade para esse dispositivo. Se não houver nenhum dispositivo registrado que suporte os mecanismos válidos, uma resposta REJECT será emitida.
senha-e-totp-ou-dispositivo	Se um valor TOTP for detectado na senha fornecida pelo usuário, será usado o equivalente ao método "password-and-totp". Consulte password-and-totp para obter informações adicionais. Se um valor TOTP não for detectado na senha fornecida pelo usuário, será usado o equivalente ao método "senha e dispositivo". Consulte senha e dispositivo para obter informações adicionais. Nota: Se a senha do usuário começar ou terminar com seis dígitos e um separador, ela poderá ser confundida com um valor TOTP incorporado pelo servidor RADIUS. Por exemplo, a opção password-first é definida como false e a senha começa com seis dígitos e um separador. Da mesma forma, se for definido como true e a senha terminar com um separador e seis dígitos, ocorrerá a mesma condição. Em qualquer uma das situações, um push de dispositivo não pode ser usado como um segundo fator para a autenticação RADIUS. O servidor RADIUS o interpreta como um valor TOTP e tenta validá-lo. A validação falha e a autenticação é rejeitada.
totp	Presume-se que a senha seja apenas um valor TOTP (Time-based One-Time Password) e somente o TOTP 2FA é validado. Nenhuma validação 1FA é feita.

"password-first":false

Esse valor é opcional e é padronizado como false. Essa configuração define se a senha é o primeiro valor na concatenação password-separator-OTP que é enviada pelo usuário para o método de autenticação password-and-totp.

Por exemplo, o valor de OTP é 1234, a senha de usuário é Password e o caractere separador é :. Se password-first for configurado como false, o usuário inserirá "1234:Password". Se password-first for configurado como true, o usuário inserirá "Password:1234".

O caractere separador pode ser definido com a configuração de separador de senha.

"password-separator":":"

Esse valor é opcional e é padronizado como :. Essa configuração define o caractere que é usado para separar os valores de senha e de OTP enviados pelo usuário para o método de autenticação "password-and-totp".

"no-devices-in-choice":true

Esse valor é opcional e é padronizado como false. Se configurado como true, os dispositivos IBM Verify do usuário não serão apresentados como opções de métodos de autenticação.

"reject-on-missing-auth-method":false

Esse valor é opcional e é padronizado como true. Se configurado como false e se o usuário não estiver registrado para o OTP de segundo fator, esse valor não será solicitado ao usuário e ele será autenticado com êxito. Se configurado como true e se o usuário não estiver registrado para o OTP de segundo fator, ele não será autenticado.

"otp-prompt":"Enter OTP %C:"

Esse valor é opcional e padronizado como a sequência de caracteres em inglês "Enter OTP %C:". Essa sequência é retornada no pacote de desafios RADIUS na entrada na variável do pacote de resposta RADIUS "Reply-Message" (18). Vários clientes RADIUS (NAS) mostram essa sequência de caracteres quando a entrada é solicitada ao usuário. Qualquer %C no prompt será substituído pela correlação OTP ou a sequência vazia para TOTP. Quaisquer %% no prompt serão substituídos por um único %.

"nome-de-usuário-anexo": "Verify@Realm"

Este valor é opcional e padronizado para a sequência de caracteres vazia (""). O valor é anexado ao nome de usuário que é fornecido ao logon do RADIUS. O valor é usado com o nome do usuário para localizar o usuário no Cloud Directory. Por exemplo, se o usuário do RADIUS era "scott", e "user-name-append": "@VerifyRealm", então o servidor localiza "scott@VerifyRealm" no registro de usuário.

"use-local-pwd-check":false

Esse valor não está disponível ao executar em sistemas Linux .. Ele é opcional e é padronizado para false Se definido como true, as senhas serão autenticadas com o banco de dados de contas locais do servidor, em vez do diretório da nuvem.

Nota: os nomes de usuário no banco de dados da conta local e no diretório da nuvem devem corresponder.... Esta opção não pode ser usada com use-external-ldap.

"local-domain":"."

Esse valor não está disponível ao executar em sistemas Linux . Ele é usado apenas quando o use-local-pwd-check é true e afeta a verificação de autenticação de senha do Windows local Quando um usuário se registra no RADIUS com um nome do usuário que não inclui um valor de domínio do Windows, o servidor RADIUS valida o usuário com relação à conta do Windows com o domínio configurado como "." Quando o domínio é configurado como ".", a senha da conta é validada somente no banco de dados da conta local. Essa opção permite que o "." seja substituído especificando um nome de domínio do Windows ou o valor de sequência de caracteres vazia "".

Nota:

Considera-se que um nome de usuário do RADIUS tem um domínio especificado se o nome contém um caractere "\" ou um "@ ". Por exemplo, mydomain\testuser ou testuser@mydomain.com.
O servidor RADIUS usa a função do Windows LogonUserA() para obter detalhes adicionais sobre o valor de domínio. Veja LogonUserA a função ( winbase.h ) - Win32 aplicativos.

"use-external-ldap":false

Esse valor é opcional e é padronizado como false. Os usuários são autenticados em relação a uma origem de identidade de passagem LDAP configurada. Quando configurado como true, o valor "identity-source" deve ser especificado. Esta opção não pode ser usada com use-local-pwd-check.

"identity-source":"869e5652-bbb1-4f9b-8e55-0ae53d3bc30b"

Esse valor será necessário apenas quando "use-external-ldap" for configurado como true, caso contrário, é opcional. Ele especifica a origem da identidade a ser usada para autenticar usuários. Uma coleção de origens de identidade configuradas e seus IDs podem ser recuperados de uma solicitação GET para https://<tenant>/verify/v1.0/authnmethods/password .

"choice-prompt":"Please select an authentication method from the list: \r\n"

Esse valor é opcional. Ele é padronizado para a sequência vazia: "". Ele permite a configuração de um prefixo para os prompts da linha de opções. Os promps da linha de opções e seus prefixos são exibidos quando o usuário precisa escolher um método de autenticação.

"choice-line-prompt":"Enter %I for %D \r\n"

Esse valor é opcional. Ele permite a customização de cada opção no prompt de opções. Um prompt de opções é gerado para cada opção que está disponível para o usuário. O padrão é

"%I)
%D\r\n"

, em que %I é substituído pelo caractere que seleciona a opção e %D é a descrição da opção..

"device-prompt":"Uma notificação push foi enviada para o seu dispositivo [%D]. "

Esse valor é opcional. Ele permite a customização do prompt device/fingerprint/userpresence. O padrão é

"A push notification has been sent to your device
[%D]. Please refresh your IBM Verify application if you did not receive it."

, em que %D é substituído pela descrição do dispositivo

“device-choice-prompt”: "\r\nYou have multiple authenticators, please choose one by entering a number:"

Quando “auth-method” de “password-and-device” é usado, o usuário pode ter vários dispositivos registrados. O servidor RADIUS solicita que o usuário escolha qual dispositivo usar. Essa opção é o prefixo para a lista de opções. Ela é padronizada para a mensagem em inglês:

"\r\nYou have multiple authenticators, please choose one by entering a
number:"

Nota: Alguns clientes RADIUS não podem manipular os caracteres de retorno e nova linha \r\n Se o cliente não reagir corretamente, tente novamente sem esses caracteres na configuração do formato.

“device-choice-line-prompt”:"\r\n%I/%T: %D"

Quando for solicitado que você escolha um dos dispositivos, esse parâmetro definirá o formato de cada opção de dispositivo. O valor padrão é a mensagem:"\r\n%I/%T: %D"

Em que

%I - é substituído pelo índice do dispositivo que o usuário precisa digitar para selecionar o dispositivo.
%T - é substituído pelo número total de opções de dispositivo.
%D - é substituído pela descrição do dispositivo do usuário.

"transients-in-choice":false

Se a linha de configuração "transients-in-choice" for configurada como "true", as opções de autenticação de OTP listadas em "transient-choices" com base nos atributos do perfil do diretório de nuvem de um usuário serão incluídas como opções de autenticação de OTP, independentemente de estarem inscritas para receber OPTs de SMS ou de e-mail.

"transient-choices": ["emails", "phoneNumbers"]

Esse valor é opcional. Ele é padronizado como ["emails","phoneNumbers"]. Essa configuração controla quais opções de autenticação de OTP temporárias estão disponíveis para os usuários.

"no-enrollments-in-choice":false

Esse valor é opcional. Ele é padronizado como false. Se a linha de configuração "no-enrollments-in-choice" for configurada como "true", os métodos de OTP inscritos pelo usuário e que incluem TOTP, e-mail e SMS não serão incluídos como opções de autenticação.

"poll-device":false

Esse valor é opcional. Ele é padronizado como false. Se configurado como true, o servidor pesquisará Verify o estado de uma verificação em vez de solicitar ao usuário e aguardar a resposta..

"poll-timeout":"60"

Esse valor é opcional. Ele é padronizado como 60. Esse atributo configura o número máximo de segundos que o servidor pesquisa Verify após uma verificação de dispositivo ser criada. Ele não terá efeito se "poll-device" for configurado como false.

"poll-delay":"2"

Esta opção determina o atraso entre cada pesquisa em segundos. O servidor RADIUS pesquisa periodicamente o Verify para determinar se aceita ou rejeita a autenticação do usuário no dispositivo. A configuração padrão é pesquisar a cada dois segundos. O valor é ignorado, a menos que seja

>= 1 and < (“poll-timeout” /
2)

"auth-method-order": ["impressão digital", "userPresence" ]

Define os métodos PUSH do dispositivo e sua ordem..

"id-link-attr": "userName"

Quando houver várias origens de identidade definidas no locatário e elas estiverem usando a vinculação de identidade, esse item de configuração definirá o nome de um atributo do usuário localizado por "user-name-attr" que identifica o nome do usuário com relação ao qual validar a senha.. Aqui estão alguns exemplos de valores:

"urn:ietf:params:scim:schemas:extension:ibm:2.0:user:linkedAccounts.myOnPremIdSource"
"emails.work"
"urn:ietf:params:scim:schemas:extension:ibm:2.0:user:customAttributes.myCustomAttribute"
"userName"

"user-name-table": [{"from": "{radius-user-name}", "to":{isv-user-name}"}, ...]

Fornece uma matriz de mapeamentos do nome de usuário fornecido pelo cliente radius para o nome de usuário Verify .

"uso-mapeamento-ID-do-usuário": falso

Se "id-link-attr" for configurado e essa opção for configurada como true (true), as configurações de MFA do usuário que está localizado por "user-name-attr" serão usadas em vez de aquela usada para a autenticação referenciada por "id-link-attr"..

"require-msg-auth": falso

Os servidores RADIUS versão 1.0.11.0 e posteriores sempre validam a assinatura do atributo Message-Authenticator se ele estiver presente. Eles sempre adicionam uma assinatura de atributo Message-Authenticator às respostas. O atributo Message-Authenticator é especificado na seção 3.2 da RFC 3579. Se essa opção for definida como true, o atributo Message-Authenticator deverá estar presente e ser válido nos pacotes Access-Request para que o servidor RADIUS processe a solicitação.

"rejeitar-pacote-inválido": falso

Por padrão, o servidor RADIUS ignora solicitações formadas incorretamente ou assinadas incorretamente. Quando essa opção é definida como true, o servidor RADIUS responde enviando uma resposta Access-Reject.