config.json 文件

在线编辑

此配置文件必须为 JSON 格式。 它包含两个部分:ibm-auth-api 和凭证提供者。

格式

{
    "ibm-auth-api":{
        "client-id":"????????-????-????-????-????????????",
        "ofb-client-secret":"**********",
        "protocol":"https",
        "host":"tenant.verify.ibm.com",
        "port":443,
        "max-handles":16
    },
    "credential-provider":{
        "username-format":"%D\\\\%U",
        /*"trace-file":"c:/credprov/credprov.log",*/
        "disable-builtin-password-logon": false,
        "auth-method":"winpwd-then-choice-then-otp"
    }
}

配置 ibm-auth-api

条目 样本值 描述
"client-id" "84e8da25-d7ed-47cc-9782-b852cb64365c" 该值是必需的。 必须创建 IBM® Verify API 客户机以供 IBM Verify Gateway for Windows™ 登录使用。
"ofb-client-secret" "KsjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=" 该值是必需的。 创建 IBM Verify API 客户机时,将为其提供密码,并且必须在此配置设置中进行设置。 obf-client-secret 以加密形式提供。
注: 也可以使用 "client-secret" 选项以明文形式提供此 obf-client-secret。 例如,
"client-secret”:"XOpiba1XeP"
.
"obf-client-secret”:
              "asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA=",
"协议" "HTTPS" 此值是可选的,缺省情况下为“https”。 此协议用于与 Verify 服务器通信。 可以使用值“http”或者“https”。 使用 https 并且 cacert.pem 文件存在时,将验证 IBM Verify 服务器证书和服务器名称。
"主机" "房客。verify.ibm.com" 该值是必需的。 它标识您正在使用的 Verify 服务器。
"port" 443 此值是可选的,缺省情况下为 443。 此端口是 Verify 服务器正在侦听请求的端口。
"max-handles" 2 此值是可选的,缺省情况下为 16。 此值是 IBM Verify Gateway for Windows 登录到 IBM Verify 服务器以进行用户认证的最大并行连接数。 每个凭证提供程序接口从不会同时使用两个以上的连接,因此值为 2 是合适的。
"proxy" "http://proxy.ibm.com:1080" 此值是可选的,并且缺省为不使用代理,而使用直接连接。

设置代理以访问 Verify 租户。 该值是主机名或点分数字 IP 地址。 数字 IPv6 地址必须写入 [方括号]。 要在此字符串中指定端口号,请将 :[port] 追加到主机名末尾。 代理的端口缺省为 port :1080。 代理字符串可以加前缀 [scheme]://,指定使用的代理类型。

http://
HTTP 代理。 未指定方案或代理类型时的缺省类型。
https://
HTTPS 代理。 对于 OpenSSL、Gnus 和 NSS,已在 7.52.0 中添加。
socks4://
SOCKS4 代理。
socks4a://
SOCKS4a 代理。 代理将解析 URL 主机名。
socks5://
SOCKS5 代理。
socks5h://
SOCKS5 代理。 代理将解析 URL 主机名。 如果没有模式前缀,那么它缺省为 http://
将代理字符串设置为 ""(空字符串)会显式禁止使用代理,即使为它设置了环境变量也是如此。

代理主机字符串还可以包括协议方案 http:// 以及嵌入式用户和密码。

注意 :如果您正在使用 HTTPS ,请在IBM Verify Windows系统上设置 OpenSSL 环境变量 SSL_CERT_FILE 。 此环境变量指示 CA 证书文件的名称和位置。
前往控制面板 > 系统和安全 > 系统 > 高级系统设置 > 环境变量 > 系统变量 ,并指定该变量。 例如,
SSL_CERT_FILE = C:\
Program Files\IBM\WindowsLogin\
cacert.pem
"proxytunnel" true 此值是可选的,如果启用代理,那么缺省情况下为 true。

proxytunnel 参数设置为 true ,以 VerifyHTTP进行隧道式操作。 使用代理不同于通过代理建立隧道。 建立隧道意味着将 HTTP CONNECT 请求发送到代理,要求它连接到特定端口号上的远程主机,然后通过代理传递流量。 代理将允许 CONNECT 请求的特定端口号列入允许列表中。 通常,只允许端口 80 和 443。
"connect-timeout" 10 此值是可选的,缺省情况下为 10 秒。 尝试打开与 Verify 服务器的连接时等待的时间 (以秒为单位)。 如果第一次尝试失败,将重试一次。
"timeout" 20 此值是可选的,缺省情况下为 20 秒。 IBM Verify Gateway for Windows Login 等待 Verify 服务器连接接收数据的时间(以秒为单位)。
"令牌类型" "不记名" 指定访问令牌类型 "access-token"。
"访问令牌" "已异常终止 ..." 指定要用于租户的访问令牌。 如果访问令牌已知,那么这是使用 "client-id" 和 "client-secret" 选项的替代方法。
"ca-路径" ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" 指定一个文件,其中包含 Verify 租户服务器证书的允许证书颁发机构签名者列表。 该文本文件包含一个或多个 base64 格式的 PEM CA 公钥证书。 默认情况下,它使用位于配置文件目录下的 cacert.pem 文件。
"来源用户代理" "IBM Verify" 指定用户代理在请求中发送以启动推送 (设备) 事务。
"代理-ca-路径" ""C:\Program\Files\IBM\WindowsLogin\cacert.pem" 指定具有代理服务器证书的许可认证中心签署者列表的文件。 该文本文件包含一个或多个 base64 格式的 PEM CA 公钥证书。 缺省情况下,它使用位于配置文件目录中的 cacert.pem 文件。
"revoke-best-尽力而为" false 用于与 Verify 租户 REST API 进行 TLS 通信。 这指示在缺少或脱机分发点的情况下,对于存在此类行为的 TLS 后端,是否应忽略证书撤销检查。
"不撤销" false 用于与 Verify 租户 REST API 进行 TLS 通信。 这指示是否应该对存在此类行为的 TLS 后端禁用证书撤销检查。 此选项仅在 Windows 上受支持,但在无法绕过的 Windows "不可信发布程序" 块列表的情况下例外。 此选项优先于 "revoke-best-尽力而为"。

配置 credential-provider

条目 样本值 描述
"trace-file" “C:\Temp\credprov.log” 此值是可选的,缺省情况下为不跟踪。
注: 如果文件 C:\Program Files\IBM\WindowsLogin\credprov.log 存在,那么将自动启用日志记录,并在启动 Verify Gateway for Windows Login 的较早阶段启用日志记录。
"auth-method" "winpwd-then-choice-then-otp" 此值是可选的,缺省情况下为 "winpwd-then-choice-then-otp",定义用于认证用户的 MFA 方法。
"winpwd"
仅限 Windows 密码。
"winpwd-and-totp"
Windows 密码与基于时间的一次性密码组合在单个输入中。
"winpwd-then-smsotp"
Windows 密码后跟 SMS 一次性密码。
"winpwd-then-emailotp"
Windows 密码后跟电子邮件一次性密码。
"winpwd-then-choice-then-otp"
Windows 密码后跟来自可用 2FA 方法的选项,后跟所选一次性密码或等待设备通知。
注: 如果只有一个选项可用,那么将跳过 "选择" 步骤。
"winpwd-then-device"
Windows 密码后跟等待设备通知。 如果为用户注册了多个设备,那么将显示“选项”步骤。
"winpwd-then-transient"
Windows 密码后跟一次性密码。 如果为用户注册了多个瞬态项,那么将显示“选项”步骤。
"accept-on-missing-auth-method" false 此值是可选的,缺省情况下为 false。 如果设置为 true,并且对于 auth-method,用户没有相应的已注册 2FA,那么允许用户仅使用其密码进行登录。
"password-first" false 此值是可选的,缺省情况下为 false。 如果设置为 true,并且 auth-method 为 winpwd-and-totp,那么在组合的密码和 TOTP 值输入中,必须先提供密码。 如果为 false,那么在组合输入中必须先提供 TOTP 值。
"otp-prompt" "请输入一次性密码 %C-" 此值是可选的,缺省值为“输入一次性验证码 %C-”。当提示用户输入其一个时间密码时,将显示此提示。 如果提示中显示 %C 字符串,那么对于 OTP 方法,会将其替换为关联值。 对于基于时间的 OTP,为空字符串。
"password-separator" “,” 此值是可选的,缺省为 ","。 对于 "windpwd-and-totp" 认证方法,此字符必须位于密码与 TOTP 组合输入之间。
"verify-method-order" ["fingerprint","userPresence"] 此值是可选的,缺省情况下为 ["fingerprint","userPresence"]。
"verify-message" “是否核准来自 winhost.ibm.com 的请求?” 此参数是可选的,缺省情况下为“是否核准来自 {hostname} 的请求?”, 其中 {hostname} 替换为正在运行 Verify Gateway for Windows 登录的推断主机名。 如果使用 "device" 认证方法,那么会在要求用户验证访问权时,在用户设备上显示此消息。
"choices" ["device" , "瞬态" , "totp" , "smsotp" , "emailotp" , "voiceotp"] 此值定义 auth-method 为 "winpwd-then-choice-then-otp" 时,向用户显示的 2FA 的类型。
"transient-choices" [ {"choice": "phoneNumbers", "sub-choices": ["mobile", "work"]}, "emails" ] 此值是可选的,缺省情况下为 ["phoneNumbers","emails"]。 此值定义在启用了瞬态 2FA 时,向用户显示的瞬态 OTP 方法的类型。

您可以为 "phoneNumbers" 指定子选项。 客户通常使用此选项来将电话号码限制为“手机”。

字符串和/或详细对象可在 "transient-choice" 数组中相互混合,以允许与早期版本兼容。
"no-mfa-on-unlock" true | false 此条目缺省为 false。 设置为 true 时,不请求任何 2FA 输入,只需要密码即可解锁桌面。
"poll-timeout" 60 此值是可选的,缺省情况下为 60 秒。 此值指定等待用户核准或拒绝设备的推送通知的时间长度。 如果超时,将自动拒绝该请求。
"poll-rate-ms" 1000 此值是可选的,缺省情况下为 1000 毫秒。 此值指定 Verify Gateway for Windows 登录到 Verify 服务器以确定设备 PUSH 是被拒绝还是被核准的频率。 它会影响 IBM Verify Gateway for Windows Login 对设备 PUSH 的响应程度。
注: 小轮询速率值每秒向 Verify 服务器发送许多请求,这会增加其负载。
"ignore-isvalidated" false 此值是可选的,缺省情况下为 false。 设置为 true 时, Verify Gateway for Windows Login 允许未验证的 2FA 方法。
"username-format" “%D\\%U” 此值是可选的,缺省情况下为“%D\\%U”。 它定义如何将 Windows 用户域和名称映射到 Verify 用户名。 %D 的出现将由 Windows 用户的域替换,而 %U 的出现将由提供的字符串中的 Windows 用户名替换。 值 %D%U 在字符串中是可选的。
"disable-builtin-password-logon" false 此值是可选的,缺省情况下为 false。 设置为 true 时,将禁用 Windows 内置密码凭证提供程序,并且仅保留 Verify Gateway for Windows 登录凭证提供程序。 如果设置为 false ,那么这两个选项都将由 Windows 登录作为选项提供。 在生产环境中,将此值设置为 true 以确保用户无法通过选择 Windows 凭证提供程序来绕过 Verify Gateway for Windows 登录凭证提供程序。
“rdp-only” false 此值是可选的,缺省情况下为 false。 设置为 true 时, Verify Gateway for Windows 登录凭证提供程序仅用于远程桌面登录。 而不会用于其他登录类型,例如本地桌面登录。
“no-mfa-account” “DOMAIN\\User” 此值是可选的,缺省情况下没有可以绕过 MFA 的帐户。 如果设置了此帐户,那么会将每个用户登录与此帐户进行比较。 比较不区分大小写。 如果匹配,那么用户将使用 auth-method "winpwd" ,这不需要 2FA 或对 Verify 服务器的访问权。 仅需要 Windows 密码才能登录。 这是一个特殊帐户,允许访问设备,即使 Verify 服务不可访问也是如此。
注: 您可能希望阻止此帐户进行 RDP 访问。 Windows 管理员可以阻止此访问。
"username-table" 
"username-table": [ 
{ "from": "testuser1", "to": "testuser1@x.y.com" },
{ "from": "testuser2", "to": "testuser2@x.y.com" } 
]
 此属性将用户名映射到新值。 如果用户名不在表中,那么将“按现状”使用。
"跟踪-滚动" 0 指定在保存文件并创建新的空跟踪文件时跟踪文件的近似最大大小 (以字节计)。 通过将当前时间戳记追加到重命名来保存跟踪文件。
"trace-localtime" false 指定跟踪文件时间戳记是否应在本地时间内。 缺省情况下,时间戳记使用 UTC。
"trace-prefix-all" false 指定是否应该使用时间戳记作为所有跟踪行的前缀。 默认情况下, Verify REST API 请求/响应跟踪捕获行只在第一行加前缀。
"不安全故障模式" false 如果无法建立与 Verify 租户 REST API 的连接,则允许仅使用密码登录,无需 2FA。
用户名属性 uid 使用 Active Directory 时,可从 Active Directory 用户登录时的属性中获取要使用 2FA 的 Verify 用户名。
用户名-CD属性 "urn:ietf:params: scim:schema: extension: ibm:2.0:User:customAttributes.userAlias" 通过查找具有该属性且其值与 windows 登录用户名相匹配的 Verify 用户,可以找到 2FA 的 Verify 用户。
"用户名-属性-严格" false 如果设置为 false,则如果 Active Directory 用户中不存在 "username-attr "属性,则登录将使用 windows 用户名为 2FA 找到 Verify 用户。
"username-attr-format" 用户名格式 "%A" 用于映射 "username-attr" 值的字符串。 任何 %A 都将替换为属性值,允许将字符串常量添加为前缀和/或后缀。 缺省值只是 "%A" ,即无修改。