Red Hat SummitChapitre 3. Configuration des certificats émis par ADCS pour l'authentification par carte à puce dans IdM
Ce scénario décrit la situation suivante :
- Votre déploiement est basé sur une confiance inter-forêts entre Identity Management (IdM) et Active Directory (AD).
- Vous souhaitez autoriser l'authentification par carte à puce pour les utilisateurs dont les comptes sont stockés dans AD.
- Les certificats sont créés et stockés dans Active Directory Certificate Services (ADCS).
Pour une vue d'ensemble de l'authentification par carte à puce, voir Comprendre l'authentification par carte à puce.
La configuration s'effectue selon les étapes suivantes :
- Copie des certificats d'autorité de certification et d'utilisateur d'Active Directory vers le serveur et le client IdM
- Configuration du serveur IdM et des clients pour l'authentification par carte à puce à l'aide de certificats ADCS
- Conversion d'un fichier PFX (PKCS#12) pour pouvoir stocker le certificat et la clé privée dans la carte à puce
- Configuration des délais d'attente dans le fichier sssd.conf
- Création de règles de mappage de certificats pour l'authentification par carte à puce
Conditions préalables
La gestion des identités (IdM) et la confiance dans Active Directory (AD) sont installées
Pour plus de détails, voir Installer la confiance entre IdM et AD.
- Active Directory Certificate Services (ADCS) est installé et les certificats pour les utilisateurs sont générés
3.1. Paramètres du serveur Windows requis pour la configuration de la confiance et l'utilisation du certificat
Copier lienLien copié sur presse-papiers!
Cette section résume ce qui doit être configuré sur Windows Server :
- Active Directory Certificate Services (ADCS) est installé
- L'autorité de certification est créée
- [Facultatif] Si vous utilisez l'inscription Web de l'autorité de certification, les services d'information Internet (IIS) doivent être configurés
Exporter le certificat :
-
La clé doit avoir
2048bits ou plus - Inclure une clé privée
Vous aurez besoin d'un certificat au format suivant : Échange d'informations personnelles -
PKCS #12(.PFX)- Activer la confidentialité des certificats
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}