"ibm-auth-api":{}

本节用于配置与服务器的 Verify 连接。

格式

    "ibm-auth-api":{
        "client-id":"xxxxxxxx",
        "obf-client-secret":"xxxxxxxx", 
        "protocol":"https",
        "host":"xxxxx.verify.ibm.com",
        "port":443,
        "max-handles":16
    },

值：

"client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"

该值是必需的。必须创建一个 IBM® Verify API 客户端供服务器 IBM Verify Gateway for RADIUS 使用。有关所需的访问设置，请参阅《配置 IBM Verify 网关以支持RADIUS服务器》。例如，客户机 IP 可以为

"84e8da25-d7ed-47cc-9782-b852cb64365c"

“obf-client-secret”:"KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="

该值是必需的。 API 客户端在 IBM Verify 创建时会获得一个客户端密钥（密码），必须将其设置在此配置项中。 obf-client-secret 是经过混淆处理的客户端密钥。对于 Windows 操作系统，请使用 IbmRadius.exe -obf client-secret 命令生成混淆后的客户端密钥值。对于 Linux 操作系统，请使用

/opt/ibm/ibm_radius/ibm_radius_64 -obf
client-secret

命令生成混淆后的客户端密钥值。

注意：此外，也可以通过使用“client-secret”选项，以明文形式提供此 obf-client-secret。例如。

"client-secret”:"xxxxxxxxxx"

"protocol":"https"

此值是可选的，缺省情况下为“https”。 IBM Verify 该协议用于与服务器进行通信。可以使用值“http”或者“https”。使用 https 并且 cacert.pem 文件存在时，将验证 IBM Verify 服务器证书和服务器名称。

"host":"slick.verify.ibm.com"

该值是必需的。它会识别您正在使用的服务器 IBM Verify 。

"port":443

此值是可选的，缺省情况下为 443。该端口是服务器 IBM Verify 用于监听请求的端口。

"最大处理数":16

此值是可选的，缺省情况下为 16。此值表示服务器 IBM Verify Gateway for RADIUS 为进行用户身份验证而与该 IBM Verify 服务器建立的并行连接的最大数量。

"token-type": "Bearer"

指定“access-token”的访问令牌类型。

"access-token": "{token}"

指定要用于该租户的访问令牌。如果已知访问令牌，这是一种替代使用“client-id”和“client-secret”选项的方法。

“ca-path”： "{path-to-ca-file}"

指定一个文件，其中列出了租户服务器证书 IBM Verify 的允许的证书颁发机构签名者。此文本文件包含一个或多个 PEM CA公钥证书，格式为 base64。

默认情况下，它使用位于配置文件目录中的文件 cacert.pem 。

"代理": "{proxy-uri}"

此值是可选的，并且缺省为不使用代理，而使用直接连接。设置代理以访问该 IBM Verify 租户。该值是主机名或者点分的数字 IP 地址。数字 IPv6 地址必须写入 [方括号]。要在该字符串中指定端口号，请在主机名末尾添加 :[port]。代理的默认端口为 :1080。代理字符串前可添加 [scheme]:// 来指定使用的代理类型。

注： * http:// - HTTP 代理。未指定方案或代理类型时的缺省类型。

https:// - HTTPS 代理。
socks4:// - SOCKS4 代理。
socks4a:// - SOCKS4a 代理。该代理解析 URL 主机名。
socks5:// - SOCKS5 代理。
socks5h:// - SOCKS5 代理。

代理主机字符串还可以包含协议方案 http://、嵌入的用户名和密码。

"proxytunnel": true

此值是可选的，如果启用代理，那么缺省情况下为 true。

将 proxytunnel 参数设置为 true，以使租户操作 IBM Verify 通过 HTTP 代理进行隧道传输。使用代理不同于通过代理建立隧道。建立隧道意味着将 HTTP CONNECT 请求发送到代理，要求它连接到特定端口号上的远程主机，然后通过代理传递流量。

注意：代理服务器可以限制允许接收 CONNECT 请求的特定端口号。通常，只允许端口 80 和 443。

"origin-user-agent": " IBM Security Verify "

指定在请求中发送的用户代理，用于发起推送（设备）事务。

"connect-timeout": 10

指定针对 IBM Verify 租户 REST API 的操作在连接阶段允许耗费的最长时长（以秒为单位）。此超时仅限制连接阶段。一旦连接，就不会产生任何影响。

"超时": 40

指定允许单个租户 REST API 操作所耗费的最长时长（以秒为单位）。

"proxy-ca-path": "{path-to-ca-file}"

指定一个包含代理服务器证书允许的证书颁发机构签名者列表的文件。此文本文件包含一个或多个 PEM CA公钥证书，格式为 base64。

默认情况下，它使用位于配置文件目录中的 cacert.pem 文件。

“crl-file”： "{path-to-crl-file}"

定义用于验证租户 REST API 服务器 IBM Verify 证书的 CRL。

该选项值指定了一个文件，其中包含已拼接的CRL（采用 PEM 格式），用于在与租户REST API IBM Verify 服务器进行 TLS 交换时进行的证书验证。

"proxy-crl-file": "{path-to-crl-file}"

定义用于验证代理服务器证书（而非目标 IBM Verify 租户 REST API 服务器）的 CRL。

该选项指定一个包含CRL（采用 PEM 格式）的拼接文件的路径，该文件将在与代理服务器进行 TLS 交换时用于证书验证。

此选项在 Windows™ 上不支持。

"revoke-best-effort": false

用于 TLS 与租户REST API之间的 IBM Verify 通信。这表示在证书分发点缺失或处于离线状态时，是否应忽略证书撤销检查——此行为适用于存在此类行为的 TLS 后端。此选项仅在 Windows 系统上受支持。

"no-revoke": false

用于 TLS 与租户REST API之间的 IBM Verify 通信。这表示是否应针对存在此类行为的 TLS 后端禁用证书撤销检查。此选项仅在 Windows 系统上受支持，但 Windows 的“不受信任的发布者”阻止列表似乎无法绕过，这是个例外。此选项优先于“revoke-best-effort”。