配置服务器 IBM Verify Gateway for RADIUS

在线编辑

本文档介绍了如何为 RADIUS 配置 IBM® Verify 网关。

过程

  1. 创建 API 客户机凭证。
    1. 以管理员身份登录管理控制台 IBM Verify
    2. 点击 “配置” > “API 访问 ” > “添加 API 客户端 ”。
    3. 提供客户机的名称。
      例如, IBM Verify Gateway。
    4. 选择复选框以授予下列访问权。
      • 对任何用户进行认证
      • 读取所有用户的第二个因子认证注册
      • 读取用户和组
    5. 点击 “保存”
    6. 在列表中找到您的 API 客户端,将鼠标悬停在该行末尾以显示编辑图标。
    7. 单击编辑图标
      将显示 API 客户机信息。
    8. 将“客户机标识”和“私钥”复制到剪贴板或单击“眼睛”图标以查看密钥并保存信息。
      在编辑配置文件 IbmRadius 时,您需要这些信息。
    9. 点击 “取消”
      不需要进行任何更改。
    如需了解更多信息,请参阅 “创建 API 客户端”
  2. 创建用户。
    1. 使用管理控制台 IBM Verify 为服务器 Verify Gateway for RADIUS 创建用户。
      请参阅 “管理用户 ”。
      Verify对于每个需要双因素认证的用户,您必须通过相关注册 API 为其注册一次性密码(OTP)服务,例如 TOTP、 EmailOTP, 或 SMSOTP。
      注意:IBM RADIUS 服务器产品不提供为用户注册一次性密码(OTP)的功能。
  3. 编辑配置文件 IbmRadius
    IbmRadiusConfig.json 文件采用 JSON 格式,但有一处非标准的修改*/您可以通过将文件中的某些部分用 /* 和 包围起来,将其注释掉。

    请访问 https://www.json.org/ 查看 JSON 文件。

    1. 使用您喜欢的文本编辑器编辑该 JSON 文件。
      适用于 Windows™ 系统 C:\Program Files\ibm\IbmRadius\IbmRadiusConfig.json

      适用于 Linux® 系统 /etc/IbmRadiusConfig.json

      在此简短示例中,请将变量值替换为在 1.h 中生成的客户端 ID 和客户端密钥,并更新所用服务器 IBM Verify 的主机名以及将要使用的客户端 Verify Gateway for RADIUS 的 IP 地址。

      请将客户端地址更新为与您的 Verify Gateway for RADIUS 客户端(NAS)地址一致,例如 VPN 服务器或 PAM RADIUS 模块。 RADIUS 客户端需要配置您在此文件中设置的“客户端密钥”值。

      {
   "address": "::",
   "port": 1812,
   "ibm-auth-api": {
      "host": "xxxxxxxx.verify.ibm.com",
      "max-handles": 16,
      "protocol": "https",
      "port": 443,
      "client-id": "xxxxxxxx",
      "client-secret": "xxxxxxxx"
   },
   "policy" : [
      {
         "name": "policy1",
         "return-attrs": [
            {
               "value": "Login",
               "name": "Service-Type"
            }
         ]
      }
   ],
   "clients": [
      {
         "address": "192.168.1.144",
         "mask": "255.255.255.255",
         "choice-prompt": "Please select an authentication method from the list: \r\n",
         "identity-source": "869e5652-bbb1-4f9b-8e55-0ae53d3bc30b",
         "auth-method": "password-then-totp",
         "name": "client1",
         "transients-in-choice": false,
         "transient-choices": ["emails", "phoneNumbers"],
         "use-external-ldap": true,
         "choice-line-prompt": "Enter %I for %D \r\n",
         "secret": "passw0rd",
         "no-devices-in-choice": false,
         "reject-on-missing-auth-method": false,
         "no-enrollments-in-choice": false,
         "device-prompt": "A push notification has been sent to your device: [%D].",
         "poll-device": true,
         "poll-timeout": 60
      }
   ]
}
    2. 编辑顶级 {} 部分。
      该文件包含全局设置 Verify Gateway for RADIUS 。 参见顶级 {}
    3. 编辑 "ibm-auth-api": {} 部分。
      其中包含与服务器的 IBM Verify 连接信息。 参见 “ibm-auth-api”:{}
    4. 编辑 "clients": [] 部分。
      其中包含与服务器的 IBM Verify 连接信息。 参见 “clients”:[].
    5. 编辑 "policy":[] 部分。
      它是一个策略数组,可以有条件地添加属性,或者接受或核准授权请求。 参见 “政策”:[]