Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

Capítulo 43. Configuración de reglas de asignación de certificados en la Gestión de Identidades

Las reglas de mapeo de certificados son una forma conveniente de permitir que los usuarios se autentiquen usando certificados en escenarios en los que el administrador de la Gestión de Identidades (IdM) no tiene acceso a los certificados de ciertos usuarios. Esta falta de acceso suele deberse a que los certificados han sido emitidos por una autoridad de certificación externa. Un caso de uso especial lo representan los certificados emitidos por el Sistema de Certificados de un Directorio Activo (AD) con el que el dominio IdM mantiene una relación de confianza.

Las reglas de asignación de certificados también son convenientes si el entorno de IdM es grande con muchos usuarios que utilizan tarjetas inteligentes. En esta situación, añadir certificados completos puede ser complicado. El asunto y el emisor son predecibles en la mayoría de los casos y, por lo tanto, son más fáciles de añadir con antelación que el certificado completo. Como administrador del sistema, puede crear una regla de asignación de certificados y añadir datos de asignación de certificados a una entrada de usuario incluso antes de que se emita un certificado para un usuario concreto. Una vez emitido el certificado, el usuario puede iniciar sesión utilizando el certificado, aunque el certificado completo no se haya cargado todavía en la entrada de usuario.

Además, como los certificados deben renovarse a intervalos regulares, las reglas de asignación de certificados reducen la carga administrativa. Cuando se renueva el certificado de un usuario, el administrador no tiene que actualizar la entrada del usuario. Por ejemplo, si la asignación se basa en los valores de Subject y Issuer, y si el nuevo certificado tiene el mismo asunto y emisor que el anterior, la asignación sigue siendo válida. Si, por el contrario, se utilizara el certificado completo, el administrador tendría que cargar el nuevo certificado en la entrada de usuario para sustituir al antiguo.

Para configurar la asignación de certificados:

  1. Un administrador tiene que cargar los datos de asignación del certificado (normalmente el emisor y el asunto) o el certificado completo en una cuenta de usuario.

  2. Un administrador tiene que crear una regla de asignación de certificados para permitir el inicio de sesión en IdM de un usuario

    1. cuya cuenta contiene una entrada de datos de asignación de certificados
    2. cuya entrada de datos de asignación de certificados coincide con la información del certificado

    Para obtener detalles sobre los componentes individuales que conforman una regla de correspondencia y cómo obtenerlos y utilizarlos, consulte Componentes de una regla de correspondencia de identidad en IdM y Obtención del emisor de un certificado para su uso en una regla de correspondencia.

Después, cuando el usuario final presenta el certificado, almacenado en el sistema de archivos o en una tarjeta inteligente, la autenticación se realiza con éxito.

En esta sección se describen los diferentes casos de uso de la asignación de certificados que son posibles si una implementación de IdM está en una relación de confianza con un dominio de Active Directory (AD).

Las reglas de asignación de certificados son una forma práctica de permitir el acceso a los recursos de IdM a los usuarios que tienen certificados de tarjeta inteligente emitidos por el sistema de certificados AD de confianza. Dependiendo de la configuración de AD, son posibles los siguientes escenarios:

  • Si el certificado es emitido por AD pero el usuario y el certificado están almacenados en IdM, el mapeo y todo el procesamiento de la solicitud de autenticación tiene lugar en el lado de IdM. Para obtener detalles sobre la configuración de este escenario, consulte Configuración de la asignación de certificados para usuariosalmacenados en IdM

  • Si el usuario está almacenado en AD, el procesamiento de la solicitud de autenticación tiene lugar en AD. Hay tres subcasos diferentes:

43.1.2. Componentes de una regla de asignación de identidades en IdM
Copiar enlace

Esta sección describe los componentes de un identity mapping rule en IdM y cómo configurarlos. Cada componente tiene un valor por defecto que se puede anular. Puede definir los componentes en la interfaz web o en la CLI. En la CLI, la regla de asignación de identidades se crea mediante el comando ipa certmaprule-add.

Regla de asignación

El componente de regla de asignación asocia (o maps) un certificado con una o más cuentas de usuario. La regla define un filtro de búsqueda LDAP que asocia un certificado con la cuenta de usuario prevista.

Los certificados emitidos por diferentes autoridades de certificación (CA) pueden tener diferentes propiedades y pueden ser utilizados en diferentes dominios. Por lo tanto, IdM no aplica las reglas de asignación de forma incondicional, sino sólo a los certificados apropiados. Los certificados apropiados se definen mediante matching rules.

Tenga en cuenta que si deja vacía la opción de regla de asignación, los certificados se buscan en el atributo userCertificate como un archivo binario codificado con DER.

Defina la regla de asignación en la CLI utilizando la opción --maprule.

Regla de concordancia

El componente de la regla de correspondencia selecciona un certificado al que desea aplicar la regla de asignación. La regla de correspondencia por defecto coincide con los certificados con el uso de digitalSignature key y clientAuth extended key.

Defina la regla de coincidencia en la CLI utilizando la opción --matchrule.

Lista de dominios

La lista de dominios especifica los dominios de identidad en los que desea que IdM busque los usuarios al procesar las reglas de asignación de identidad. Si se deja la opción sin especificar, IdM busca los usuarios sólo en el dominio local al que pertenece el cliente IdM.

Defina el dominio en la CLI utilizando la opción --domain.

Prioridad

Cuando hay varias reglas aplicables a un certificado, la regla con mayor prioridad tiene prioridad. Todas las demás reglas se ignoran.

  • Cuanto menor sea el valor numérico, mayor será la prioridad de la regla de asignación de identidad. Por ejemplo, una regla con prioridad 1 tiene mayor prioridad que una regla con prioridad 2.
  • Si una regla no tiene un valor de prioridad definido, tiene la prioridad más baja.

Defina la prioridad de la regla de asignación en la CLI utilizando la opción --priority.

Ejemplo de regla de asignación de certificados

Definir, mediante la CLI, una regla de asignación de certificados denominada simple_rule que permita la autenticación para un certificado emitido por el Smart Card CA de la organización EXAMPLE.ORG siempre que el Subject de dicho certificado coincida con una entrada certmapdata de una cuenta de usuario en IdM: 

# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'

Este procedimiento describe cómo obtener la información del emisor de un certificado para poder copiarla y pegarla en la regla de correspondencia de una regla de asignación de certificados. Para obtener el formato del emisor requerido por una regla de correspondencia, utilice la utilidad openssl x509.

Requisitos previos

  • Tiene el certificado de usuario en formato .pem o .crt

Procedimiento

  1. Obtenga la información del usuario del certificado. Utilice la utilidad de visualización y firma de certificados openssl x509 con:

    • la opción -noout para evitar la salida de una versión codificada de la solicitud
    • la opción -issuer para imprimir el nombre del emisor
    • la opción -in para especificar el nombre del archivo de entrada del que se leerá el certificado

    • la opción -nameopt con el valor RFC2253 para mostrar la salida con el nombre distinguido relativo (RDN) más específico primero

      Si el archivo de entrada contiene un certificado de Gestión de Identidades, la salida del comando muestra que el Emisor está definido utilizando la información de Organisation: 

      # openssl x509 -noout -issuer -in idm_user.crt -nameopt RFC2253
issuer=CN=Certificate Authority,O=REALM.EXAMPLE.COM

      Si el archivo de entrada contiene un certificado de Active Directory, la salida del comando muestra que el Emisor está definido utilizando la información de Domain Component: 

      # openssl x509 -noout -issuer -in ad_user.crt -nameopt RFC2253
issuer=CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM

  2. Opcionalmente, para crear una nueva regla de asignación en la CLI basada en una regla de coincidencia que especifique que el emisor del certificado debe ser el AD-WIN2012R2-CA extraído del dominio ad.example.com y el asunto del certificado debe coincidir con la entrada certmapdata de una cuenta de usuario en IdM: 

    # ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'

Información adicional

Para obtener detalles sobre los formatos admitidos para la regla de correspondencia y la regla de asignación, y una explicación de los campos de prioridad y dominio, consulte la página de manual sss-certmap(5).

Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2026 Red HatVolver arriba