9.5. Configuration du mappage des certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage


Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD ne contient ni le certificat entier ni les données de mappage de certificats.

Conditions préalables

  • L'utilisateur n'a pas de compte dans IdM.
  • L'utilisateur a un compte dans AD qui ne contient ni le certificat complet ni l'attribut altSecurityIdentities, l'équivalent AD de l'attribut IdM certmapdata.
  • L'administrateur IdM dispose de l'ensemble du certificat de l'utilisateur AD à ajouter au site user ID override de l'utilisateur AD dans IdM.

9.5.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM

  1. Se connecter à l'interface web IdM en tant qu'administrateur.
  2. Naviguez vers Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.
  3. Cliquez sur Add.

    Figure 9.9. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM

    Screenshot of the IdM Web UI displaying the "Certificate Identity Mapping Rules" sub-page from the Authentication tab. The "Add" button to the right is highlighted
  4. Saisissez le nom de la règle.
  5. Saisissez la règle de mappage. Pour que l'ensemble du certificat présenté à l'IdM pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans l'IdM :

    (userCertificate;binary={cert!bin})
  6. Saisissez la règle de correspondance. Par exemple, pour autoriser uniquement les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM à s'authentifier :

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  7. Saisissez le nom de domaine. Par exemple, pour rechercher des utilisateurs dans le domaine ad.example.com:

    Figure 9.10. Règle de mappage des certificats pour un utilisateur sans certificat ni données de mappage stockées dans AD

    Screenshot of the "Add Certificate Identity Mapping Rule" pop-up window with the following fields filled in: Rule name (which is required) - Mapping rule - Matching rule. The "Priority" field is blank and there is also an Add button next to the "Domain name" label.
  8. Cliquez sur Add.
  9. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans l'interface CLI :

    # systemctl restart sssd

9.5.2. Ajout d'une règle de mappage de certificats dans la CLI IdM

  1. Obtenir les informations d'identification de l'administrateur :

    # kinit admin
  2. Saisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Pour que l'ensemble du certificat présenté pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans IdM, autorisant uniquement les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM pour l'authentification :

    # ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
    -------------------------------------------------------
    Added Certificate Identity Mapping Rule "simpleADrule"
    -------------------------------------------------------
      Rule name: simpleADrule
      Mapping rule: (userCertificate;binary={cert!bin})
      Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
      Domain name: ad.example.com
      Enabled: TRUE
  3. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD :

    # systemctl restart sssd

9.5.3. Ajout d'un certificat à l'ID override d'un utilisateur AD dans l'interface web IdM

  1. Naviguez vers Identity ID Views Default Trust View.
  2. Cliquez sur Add.

    Figure 9.11. Ajout d'un nouvel identifiant d'utilisateur dans l'interface web de l'IdM

    Screenshot of the IdM Web UI displaying the "ID Views" page from the Identity tab. The Add button on the right is highlighted.
  3. Dans le champ User to override, entrez ad_user@ad.example.com.
  4. Copiez et collez le certificat de ad_user dans le champ Certificate.

    Figure 9.12. Configuration de l'annulation de l'ID utilisateur pour un utilisateur AD

    Screenshot displaying the "Add User ID override" pop-up window with the following fields: User to override (which is required) - User login - GECOS - UID - GID - Certificate (which has been filled in with the plaintext version of a certificate).
  5. Cliquez sur Add.

Verification steps

  • Vérifiez que l'utilisateur et le certificat sont liés :

    • Utilisez l'utilitaire sss_cache pour invalider l'enregistrement de ad_user@ad.example.com dans le cache SSSD et forcer le rechargement des informations de ad_user@ad.example.com:

      # sss_cache -u ad_user@ad.example.com
    • Exécutez la commande ipa certmap-match avec le nom du fichier contenant le certificat de l'utilisateur AD :

      # ipa certmap-match ad_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: AD.EXAMPLE.COM
       User logins: ad_user@ad.example.com
      ----------------------------
      Number of entries returned 1
      ----------------------------

Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com.

9.5.4. Ajout d'un certificat à l'ID override d'un utilisateur AD dans la CLI IdM

Ressources supplémentaires

  1. Obtenir les informations d'identification de l'administrateur :

    # kinit admin
  2. Stockez le blob du certificat dans une nouvelle variable appelée CERT:

    # CERT=`cat ad_user_cert.pem | tail -n 2| head -n -1 | tr -d '\r\n'\`
  3. Ajoutez le certificat de ad_user@ad.example.com au compte d'utilisateur à l'aide de la commande ipa idoverrideuser-add-cert:

    # ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT

Verification steps

  • Vérifiez que l'utilisateur et le certificat sont liés :

    • Utilisez l'utilitaire sss_cache pour invalider l'enregistrement de ad_user@ad.example.com dans le cache SSSD et forcer le rechargement des informations de ad_user@ad.example.com:

      # sss_cache -u ad_user@ad.example.com
    • Exécutez la commande ipa certmap-match avec le nom du fichier contenant le certificat de l'utilisateur AD :

      # ipa certmap-match ad_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: AD.EXAMPLE.COM
       User logins: ad_user@ad.example.com
      ----------------------------
      Number of entries returned 1
      ----------------------------

Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.