43.5. Configuración de la asignación de certificados si la entrada de usuario de AD no contiene ningún certificado ni datos de asignación


Esta historia de usuario describe los pasos necesarios para habilitar la asignación de certificados en IdM si la implementación de IdM está en confianza con Active Directory (AD), el usuario está almacenado en AD y la entrada de usuario en AD no contiene ni el certificado completo ni los datos de asignación de certificados.

Requisitos previos

  • El usuario no tiene una cuenta en IdM.
  • El usuario tiene una cuenta en AD que no contiene ni el certificado completo ni el atributo altSecurityIdentities, el equivalente en AD del atributo IdM certmapdata.
  • El administrador de IdM tiene el certificado completo del usuario de AD para añadirlo a la página web del usuario de AD user ID override en IdM.

43.5.1. Adición de una regla de asignación de certificados si la entrada de usuario de AD no contiene ningún certificado ni datos de asignación

43.5.1.1. Añadir una regla de asignación de certificados en la interfaz web de IdM

  1. Inicie sesión en la interfaz web de IdM como administrador.
  2. Navegue hasta Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.
  3. Haga clic en Add.

    Figura 43.9. Añadir una nueva regla de asignación de certificados en la interfaz web de IdM

    new certmaprule add
  4. Introduzca el nombre de la regla.
  5. Introduzca la regla de asignación. Para que el certificado completo que se presenta a IdM para la autenticación se compare con el certificado almacenado en la entrada de anulación del ID de usuario de la entrada de usuario de AD en IdM:

    (userCertificate;binary={cert!bin})
  6. Introduzca la regla de coincidencia. Por ejemplo, para permitir que sólo se autentifiquen los certificados emitidos por el AD-ROOT-CA del dominio AD.EXAMPLE.COM:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  7. Introduzca el nombre del dominio. Por ejemplo, para buscar usuarios en el dominio ad.example.com:

    Figura 43.10. Regla de asignación de certificados para un usuario sin certificado o datos de asignación almacenados en AD

    certmaprule add details ad cert
  8. Haga clic en Add.
  9. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar la carga inmediata de la regla recién creada, reinicie SSSD en la CLI:

    # systemctl restart sssd

43.5.1.2. Adición de una regla de asignación de certificados en la CLI de IdM

  1. Obtenga las credenciales del administrador:

    # kinit admin
  2. Introduzca la regla de asignación y la regla de correspondencia en la que se basa la regla de asignación. Para que todo el certificado que se presenta para la autenticación se compare con el certificado almacenado en la entrada de anulación del ID de usuario de la entrada de usuario de AD en IdM, permitiendo únicamente la autenticación de los certificados emitidos por la AD-ROOT-CA del dominio AD.EXAMPLE.COM:

    # ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
    -------------------------------------------------------
    Added Certificate Identity Mapping Rule "simpleADrule"
    -------------------------------------------------------
      Rule name: simpleADrule
      Mapping rule: (userCertificate;binary={cert!bin})
      Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
      Domain name: ad.example.com
      Enabled: TRUE
  3. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar que la regla recién creada se cargue inmediatamente, reinicie SSSD:

    # systemctl restart sssd

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.