config.json 文件

在线编辑

此配置文件必须为 JSON 格式。 它包含两个部分:ibm-auth-api 和凭证提供者。

格式

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

配置 ibm-auth-api

条目 样本值 描述
"client-id" "84e8da25-d7ed-47cc-9782-b852cb64365c" 该值是必需的。 必须创建 IBM® Verify API 客户机以供 IBM Verify Gateway for Windows™ 登录使用。
"ofb-client-secret" "KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=" 该值是必需的。 创建 IBM Verify API 客户机时,将为其提供密码,并且必须在此配置设置中进行设置。 obf-client-secret 以加密形式提供。
注: 也可以使用 "client-secret" 选项以明文形式提供此 obf-client-secret。 例如,
"client-secret”:"XOpiba1XeP"
.
"obf-client-secret”:
              "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",
"协议" "HTTPS" 此值是可选的,缺省情况下为“https”。 此协议用于与 Verify 服务器通信。 可以使用值“http”或者“https”。 使用 https 并且 cacert.pem 文件存在时,将验证 IBM Verify 服务器证书和服务器名称。
"主机" "房客。verify.ibm.com" 该值是必需的。 它标识您正在使用的 Verify 服务器。
"port" 443 此值是可选的,缺省情况下为 443。 此端口是 Verify 服务器正在侦听请求的端口。
"max-handles" 2 此值是可选的,缺省情况下为 16。 此值是 IBM Verify Gateway for Windows 登录到 IBM Verify 服务器以进行用户认证的最大并行连接数。 每个凭证提供程序接口从不会同时使用两个以上的连接,因此值为 2 是合适的。
"proxy" "http://proxy.ibm.com:1080" 此值是可选的,并且缺省为不使用代理,而使用直接连接。

设置代理以访问 Verify 租户。 该值是主机名或点分数字 IP 地址。 数字 IPv6 地址必须写入 [方括号]。 要在此字符串中指定端口号,请将 :[port] 追加到主机名末尾。 代理的端口缺省为 port :1080。 代理字符串可以加前缀 [scheme]://,指定使用的代理类型。

http://
HTTP 代理。 未指定方案或代理类型时的缺省类型。
https://
HTTPS 代理。 对于 OpenSSL、Gnus 和 NSS,已在 7.52.0 中添加。
socks4://
SOCKS4 代理。
socks4a://
SOCKS4a 代理。 代理将解析 URL 主机名。
socks5://
SOCKS5 代理。
socks5h://
SOCKS5 代理。 代理将解析 URL 主机名。 如果没有模式前缀,那么它缺省为 http://
将代理字符串设置为 ""(空字符串)会显式禁止使用代理,即使为它设置了环境变量也是如此。

代理主机字符串还可以包括协议方案 http:// 以及嵌入式用户和密码。

注意 :如果您正在使用 HTTPS ,请在IBM Verify Windows系统上设置 OpenSSL 环境变量 SSL_CERT_FILE 。 此环境变量指示 CA 证书文件的名称和位置。
前往控制面板 > 系统和安全 > 系统 > 高级系统设置 > 环境变量 > 系统变量 ,并指定该变量。 例如,
SSL_CERT_FILE = C:\
Program Files\IBM\WindowsLogin\
cacert.pem
"proxytunnel" true 此值是可选的,如果启用代理,那么缺省情况下为 true。

proxytunnel 参数设置为 true ,以 VerifyHTTP进行隧道式操作。 使用代理不同于通过代理建立隧道。 建立隧道意味着将 HTTP CONNECT 请求发送到代理,要求它连接到特定端口号上的远程主机,然后通过代理传递流量。 代理将允许 CONNECT 请求的特定端口号列入允许列表中。 通常,只允许端口 80 和 443。
"connect-timeout" 10 此值是可选的,缺省情况下为 10 秒。 尝试打开与 Verify 服务器的连接时等待的时间 (以秒为单位)。 如果第一次尝试失败,将重试一次。
"timeout" 20 此值是可选的,缺省情况下为 20 秒。 IBM Verify Gateway for Windows Login 等待 Verify 服务器连接接收数据的时间(以秒为单位)。
"令牌类型" "不记名" 指定访问令牌类型 "access-token"。
"访问令牌" "已异常终止 ..." 指定要用于租户的访问令牌。 如果访问令牌已知,那么这是使用 "client-id" 和 "client-secret" 选项的替代方法。
"ca-路径" ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" 指定一个文件,其中包含 Verify 租户服务器证书的允许证书颁发机构签名者列表。 此文本文件包含一个或多个 PEM CA公钥证书,采用 base64 格式存储。 默认情况下,它使用位于配置文件目录下的 cacert.pem 文件。
"来源用户代理" "IBM Verify" 指定用户代理在请求中发送以启动推送 (设备) 事务。
"代理-ca-路径" ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" 指定具有代理服务器证书的许可认证中心签署者列表的文件。 此文本文件包含一个或多个 PEM CA公钥证书,采用 base64 格式存储。 缺省情况下,它使用位于配置文件目录中的 cacert.pem 文件。
"revoke-best-尽力而为" false 用于租户 Verify REST API 的 TLS 通信。 这表示在 TLS 后端存在此类行为时,若证书吊销检查点缺失或处于离线状态,系统是否应忽略证书吊销检查。
"不撤销" false 用于租户 Verify REST API 的 TLS 通信。 这表示是否应禁用证书吊销检查,适用于存在此类行为的 TLS 后端。 此选项仅在 Windows 上受支持,但在无法绕过的 Windows "不可信发布程序" 块列表的情况下例外。 此选项优先于 "revoke-best-尽力而为"。

配置 credential-provider

条目 样本值 描述
"trace-file" “C:\Temp\credprov.log” 此值是可选的,缺省情况下为不跟踪。
注: 如果文件 C:\Program Files\IBM\WindowsLogin\credprov.log 存在,那么将自动启用日志记录,并在启动 Verify Gateway for Windows Login 的较早阶段启用日志记录。
"auth-method" "winpwd-then-choice-then-otp" 此值是可选的,缺省情况下为 "winpwd-then-choice-then-otp",定义用于认证用户的 MFA 方法。
"winpwd"
仅限 Windows 密码。
"winpwd-and-totp"
Windows 密码与基于时间的一次性密码组合在单个输入中。
"winpwd-then-smsotp"
Windows 密码后跟 SMS 一次性密码。
"winpwd-then-emailotp"
Windows 密码后跟电子邮件一次性密码。
"winpwd-then-choice-then-otp"
Windows 密码后跟来自可用 2FA 方法的选项,后跟所选一次性密码或等待设备通知。
注: 如果只有一个选项可用,那么将跳过 "选择" 步骤。
"winpwd-then-device"
Windows 密码后跟等待设备通知。 如果为用户注册了多个设备,那么将显示“选项”步骤。
"winpwd-then-transient"
Windows 密码后跟一次性密码。 如果为用户注册了多个瞬态项,那么将显示“选项”步骤。
"accept-on-missing-auth-method" false 此值是可选的,缺省情况下为 false。 如果设置为 true,并且对于 auth-method,用户没有相应的已注册 2FA,那么允许用户仅使用其密码进行登录。
"password-first" false 此值是可选的,缺省情况下为 false。 如果设置为 true,并且 auth-method 为 winpwd-and-totp,那么在组合的密码和 TOTP 值输入中,必须先提供密码。 如果为 false,那么在组合输入中必须先提供 TOTP 值。
"otp-prompt" "请输入一次性密码 %C-" 此值是可选的,缺省值为“输入一次性验证码 %C-”。当提示用户输入其一个时间密码时,将显示此提示。 如果提示中显示 %C 字符串,那么对于 OTP 方法,会将其替换为关联值。 对于基于时间的 OTP,为空字符串。
"password-separator" “,” 此值是可选的,缺省为 ","。 对于 "windpwd-and-totp" 认证方法,此字符必须位于密码与 TOTP 组合输入之间。
"verify-method-order" ["fingerprint","userPresence"] 此值是可选的,缺省情况下为 ["fingerprint","userPresence"]。
"verify-message" “是否核准来自 winhost.ibm.com 的请求?” 此参数是可选的,缺省情况下为“是否核准来自 {hostname} 的请求?”, 其中 {hostname} 替换为正在运行 Verify Gateway for Windows 登录的推断主机名。 如果使用 "device" 认证方法,那么会在要求用户验证访问权时,在用户设备上显示此消息。
"choices" ["device" , "瞬态" , "totp" , "smsotp" , "emailotp" , "voiceotp"] 此值定义 auth-method 为 "winpwd-then-choice-then-otp" 时,向用户显示的 2FA 的类型。
"transient-choices" [ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ] 此值是可选的,缺省情况下为 ["phoneNumbers","emails"]。 此值定义在启用了瞬态 2FA 时,向用户显示的瞬态 OTP 方法的类型。

您可以为 "phoneNumbers" 指定子选项。 客户通常使用此选项来将电话号码限制为“手机”。

字符串和/或详细对象可在 "transient-choice" 数组中相互混合,以允许与早期版本兼容。
"no-mfa-on-unlock" true | false 此条目缺省为 false。 设置为 true 时,不请求任何 2FA 输入,只需要密码即可解锁桌面。
"poll-timeout" 60 此值是可选的,缺省情况下为 60 秒。 此值指定等待用户核准或拒绝设备的推送通知的时间长度。 如果超时,将自动拒绝该请求。
"poll-rate-ms" 1000 此值是可选的,缺省情况下为 1000 毫秒。 此值指定 Verify Gateway for Windows 登录到 Verify 服务器以确定设备 PUSH 是被拒绝还是被核准的频率。 它会影响 IBM Verify Gateway for Windows Login 对设备 PUSH 的响应程度。
注: 小轮询速率值每秒向 Verify 服务器发送许多请求,这会增加其负载。
"ignore-isvalidated" false 此值是可选的,缺省情况下为 false。 设置为 true 时, Verify Gateway for Windows Login 允许未验证的 2FA 方法。
"username-format" “%D\\%U” 此值是可选的,缺省情况下为“%D\\%U”。 它定义如何将 Windows 用户域和名称映射到 Verify 用户名。 %D 的出现将由 Windows 用户的域替换,而 %U 的出现将由提供的字符串中的 Windows 用户名替换。 值 %D%U 在字符串中是可选的。
"disable-builtin-password-logon" false 此值是可选的,缺省情况下为 false。 设置为 true 时,将禁用 Windows 内置密码凭证提供程序,并且仅保留 Verify Gateway for Windows 登录凭证提供程序。 如果设置为 false ,那么这两个选项都将由 Windows 登录作为选项提供。 在生产环境中,将此值设置为 true 以确保用户无法通过选择 Windows 凭证提供程序来绕过 Verify Gateway for Windows 登录凭证提供程序。
“rdp-only” false 此值是可选的,缺省情况下为 false。 设置为 true 时, Verify Gateway for Windows 登录凭证提供程序仅用于远程桌面登录。 而不会用于其他登录类型,例如本地桌面登录。
“no-mfa-account” “DOMAIN\\User” 此值是可选的,缺省情况下没有可以绕过 MFA 的帐户。 如果设置了此帐户,那么会将每个用户登录与此帐户进行比较。 比较不区分大小写。 如果匹配,那么用户将使用 auth-method "winpwd" ,这不需要 2FA 或对 Verify 服务器的访问权。 仅需要 Windows 密码才能登录。 这是一个特殊帐户,允许访问设备,即使 Verify 服务不可访问也是如此。
注: 您可能希望阻止此帐户进行 RDP 访问。 Windows 管理员可以阻止此访问。
"username-table" 
"username-table": [ 
{ "from": "testuser1", "to": "testuser1@x.y.com" },
{ "from": "testuser2", "to": "testuser2@x.y.com" } 
]
 此属性将用户名映射到新值。 如果用户名不在表中,那么将“按现状”使用。
"跟踪-滚动" 0 指定在保存文件并创建新的空跟踪文件时跟踪文件的近似最大大小 (以字节计)。 通过将当前时间戳记追加到重命名来保存跟踪文件。
“trace-localtime” false 指定跟踪文件时间戳记是否应在本地时间内。 缺省情况下,时间戳记使用 UTC。
“trace-prefix-all” false 指定是否应该使用时间戳记作为所有跟踪行的前缀。 默认情况下, Verify REST API 请求/响应跟踪捕获行只在第一行加前缀。
"不安全故障模式" false 如果无法建立与 Verify 租户 REST API 的连接,则允许仅使用密码登录,无需 2FA。
用户名属性 uid 使用 Active Directory 时,可从 Active Directory 用户登录时的属性中获取要使用 2FA 的 Verify 用户名。
用户名-CD属性 "urn:ietf:params: scim:schema: extension: ibm:2.0:User:customAttributes.userAlias" 通过查找具有该属性且其值与 windows 登录用户名相匹配的 Verify 用户,可以找到 2FA 的 Verify 用户。
"用户名-属性-严格" false 如果设置为 false,则如果 Active Directory 用户中不存在 "username-attr "属性,则登录将使用 windows 用户名为 2FA 找到 Verify 用户。
"username-attr-format" 用户名格式 "%A" 用于映射 "username-attr" 值的字符串。 任何 %A 都将替换为属性值,允许将字符串常量添加为前缀和/或后缀。 缺省值只是 "%A" ,即无修改。