"ibm-auth-api":{}

格式

"ibm-auth-api":{
        "client-id":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
        "obf-client-secret":"xxxxxxxxxx", /* Use /opt/ibm/ibm_auth/ibm_authd[_64] --obf <secret> */
        "protocol":"https",
        "host":"xxxx.verify.ibm.com",
        "port":"443",
        "max-handles":"16"
    },

值：

"client-id":"84e8da25-d7ed-47cc-9782-b852cb64365c"

该值是必需的。 必须为该 IBM Verify Gateway for Linux® PAM and AIX® PAM (Pluggable Authentication Modules) 模块创建一个 VerifyAPI 客户端。

"obf-client-secret":"asjKZsKrbbgNaPe7+kYIcOyWzZdzYNtF4KlCyYoNEFA="

该值是必需的。 客户端 IBM Verify 在创建时会获得一个客户端密钥（密码），必须将其设置在此配置项中。 obf-client-secret 就是经过混淆处理的 client-secret。 /opt/ibm/ibm_auth/ibm_authd_64 --obf client-secret 使用 命令生成 obf-client-secret 值。

注意： 此外，也可以通过使用“client-secret”选项，以明文形式提供此 obf-client-secret。 例如。

"client-secret”:"xxxxxxxxxx"

"protocol":"https"

此值是可选的，缺省情况下为“https”。 Verify 该协议用于与服务器进行通信。 可以使用值“http”或者“https”。 使用 https 并且 /etc/pam_ibm_auth.pem 文件存在时，将验证 Verify 服务器证书和服务器名称。

"host":"slick.verify.ibm.com"

该值是必需的。 它会识别您正在使用的服务器 Verify 。

"port":443

此值是可选的，缺省情况下为 443。 该端口是服务器 Verify 用于监听请求的端口。

"最大处理数":16

此值是可选的，缺省情况下为 16。 此值表示服务器 IBM Verify Gateway for Linux PAM and AIX PAM (Pluggable Authentication Modules) 为进行用户身份验证而与目标 Verify 服务器建立的并行连接的最大数量。

"authd-port": 12

不再支持此值。

注意： 若要使用代理，必须禁用该 authd-port 功能。

"代理": "http://proxy.ibm.com:1080"

此值是可选的，并且缺省为不使用代理，而使用直接连接。

设置代理以访问该 Verify 租户。 该值是主机名或者点分的数字 IP 地址。 数字 IPv6 地址必须写入 [方括号]。 要在此字符串中指定端口号，请将 :[port] 附加到主机名末尾。 代理的端口缺省为 port :1080。 可以使用 [scheme]:// 作为代理字符串的前缀，以指定使用哪种类型的代理。

authd-port注意： 若要使用代理，您必须配置代理设置并禁用该选项。

http://

HTTP 代理。 未指定方案或代理类型时的缺省类型。

https://

HTTPS 代理。 对于 OpenSSL、GnuTLS 和 NSS，已在 7.52.0 中新增。

socks4://

SOCKS4 代理。

socks4a://

SOCKS4a 代理。 该代理解析 URL 主机名。

socks5://

SOCKS5 代理。

socks5h://

SOCKS5 代理。 该代理解析 URL 主机名。

将代理字符串设置为 ""（空字符串）会显式禁止使用代理，即使为它设置了环境变量也是如此。

代理主机字符串还可以包括协议方案 http:// 及嵌入式用户和密码。

"proxytunnel":true

此值是可选的，如果启用代理，那么缺省情况下为 true。

将 proxytunnel 参数设置为 true ，以便租户操作通过 HTTP 代理进行 Verify 隧道传输。 使用代理不同于通过代理建立隧道。 建立隧道意味着将 HTTP CONNECT 请求发送到代理，要求它连接到特定端口号上的远程主机，然后通过代理传递流量。 代理将允许 CONNECT 请求的特定端口号列入允许列表中。 通常，只允许端口 80 和 443。

"token-type": "Bearer"

指定“access-token”的访问令牌类型。

"access-token": "{token}"

指定要用于该租户的访问令牌。 如果已知访问令牌，这是一种替代使用“client-id”和“client-secret”选项的方法。

"ca-path": "{path-to-ca-file}"

指定一个文件，其中列出了租户服务器证书 Verify 的允许的证书颁发机构签名者。 此文本文件包含一个或多个 PEM CA公钥证书，格式为 base64。

默认情况下，它使用位于配置文件目录中的文件 cacert.pem 。

"origin-user-agent": "IBM Verify"

指定在请求中发送的用户代理，用于发起推送（设备）事务。

"connect-timeout": 10

指定针对租户 REST API 的 Verify 操作在连接阶段允许耗费的最长时间（以秒为单位）。 此超时仅限制连接阶段。 连接后没有任何影响。

"超时": 40

指定允许单个租户 REST API 操作所耗费的最长时长（以秒为单位）。

"proxy-ca-path": "{path-to-ca-file}"

指定一个包含代理服务器证书允许的证书颁发机构签名者列表的文件。 此文本文件包含一个或多个 PEM CA公钥证书，格式为 base64。

默认情况下，它使用位于配置文件目录中的文件 cacert.pem 。

“crl-file”： "{path-to-crl-file}"

定义用于验证租户 REST API 服务器 Verify 证书的 CRL。

该选项值指定了一个文件，其中包含拼接好的CRL（采用 PEM 格式），用于在与租户REST API Verify 服务器进行 TLS 交换时进行的证书验证。

"proxy-crl-file": "{path-to-crl-file}"

定义用于验证代理服务器证书（而非目标 Verify 租户 REST API 服务器）的 CRL。

该选项指定了一个文件，其中包含已拼接的CRL（采用 PEM 格式），用于在与代理服务器进行 TLS 交换时进行的证书验证。

"ibm-authd":{}

可以对 ibm_authd 进程设置跟踪文件。

"pam":{}

可以对 pam_ibm_auth.so 模块设置跟踪文件。

其他文件

可以设置文件 /etc/pam_ibm_auth.pem，以允许验证租户证书，并验证租户主机名对其提供的证书是否有效。 此文本文件包含一个或多个 PEM CA 证书，即将 x509 ASN.1 CA 公用密钥转换为 Base64 格式。