Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

43.4. Configuración de la asignación de certificados si AD está configurado para asignar certificados de usuario a cuentas de usuario

Esta historia de usuario describe los pasos necesarios para habilitar la asignación de certificados en IdM si la implementación de IdM está en confianza con Active Directory (AD), el usuario está almacenado en AD y la entrada de usuario en AD contiene datos de asignación de certificados.

Requisitos previos

  • El usuario no tiene una cuenta en IdM.
  • El usuario tiene una cuenta en AD que contiene el atributo altSecurityIdentities, el equivalente en AD del atributo IdM certmapdata.
  • El administrador de IdM tiene acceso a los datos en los que se puede basar la regla de asignación de certificados de IdM.

  1. Inicie sesión en la interfaz web de IdM como administrador.
  2. Navegue hasta Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.

  3. Haga clic en Add.

    Figura 43.7. Añadir una nueva regla de asignación de certificados en la interfaz web de IdM

    new certmaprule add
    View larger image
    new certmaprule add
  4. Introduzca el nombre de la regla.

  5. Introduzca la regla de asignación. Por ejemplo, para hacer que AD DC busque las entradas Issuer y Subject en cualquier certificado presentado, y base su decisión de autenticar o no en la información encontrada en estas dos entradas del certificado presentado: 

    (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
    Copy to Clipboard Toggle word wrap

  6. Introduzca la regla de coincidencia. Por ejemplo, para permitir sólo los certificados emitidos por el AD-ROOT-CA del dominio AD.EXAMPLE.COM para autenticar a los usuarios en el IdM: 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
    Copy to Clipboard Toggle word wrap

  7. Introduzca el dominio: 

    ad.example.com
    Copy to Clipboard Toggle word wrap

    Figura 43.8. Regla de asignación de certificados si AD está configurado para la asignación

    certmaprule add details ad map
    View larger image
    certmaprule add details ad map
  8. Haga clic en Add.

  9. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar la carga inmediata de la regla recién creada, reinicie SSSD en la CLI:: 

    # systemctl restart sssd
    Copy to Clipboard Toggle word wrap

  1. Obtenga las credenciales del administrador: 

    # kinit admin
    Copy to Clipboard Toggle word wrap

  2. Introduzca la regla de asignación y la regla de coincidencia en la que se basa la regla de asignación. Por ejemplo, para hacer que AD busque las entradas Issuer y Subject en cualquier certificado presentado, y sólo permita certificados emitidos por el AD-ROOT-CA del dominio AD.EXAMPLE.COM: 

    # ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule"
-------------------------------------------------------
  Rule name: ad_configured_for_mapping_rule
  Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE
    Copy to Clipboard Toggle word wrap

  3. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar que la regla recién creada se cargue inmediatamente, reinicie SSSD: 

    # systemctl restart sssd
    Copy to Clipboard Toggle word wrap

Volver arriba
Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2025 Red Hat