9.5. Configuration du mappage des certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage
Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD ne contient ni le certificat entier ni les données de mappage de certificats.
Conditions préalables
- L'utilisateur n'a pas de compte dans IdM.
-
L'utilisateur a un compte dans AD qui ne contient ni le certificat complet ni l'attribut
altSecurityIdentities, l'équivalent AD de l'attribut IdMcertmapdata. -
L'administrateur IdM dispose de l'ensemble du certificat de l'utilisateur AD à ajouter au site
user ID overridede l'utilisateur AD dans IdM.
9.5.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM
- Se connecter à l'interface web IdM en tant qu'administrateur.
-
Naviguez vers
AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules. Cliquez sur
Add.Figure 9.9. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM
- Saisissez le nom de la règle.
Saisissez la règle de mappage. Pour que l'ensemble du certificat présenté à l'IdM pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans l'IdM :
(userCertificate;binary={cert!bin})Saisissez la règle de correspondance. Par exemple, pour autoriser uniquement les certificats émis par
AD-ROOT-CAdu domaineAD.EXAMPLE.COMà s'authentifier :<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=comSaisissez le nom de domaine. Par exemple, pour rechercher des utilisateurs dans le domaine
ad.example.com:Figure 9.10. Règle de mappage des certificats pour un utilisateur sans certificat ni données de mappage stockées dans AD
-
Cliquez sur
Add. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans l'interface CLI :
# systemctl restart sssd
9.5.2. Ajout d'une règle de mappage de certificats dans la CLI IdM
Obtenir les informations d'identification de l'administrateur :
# kinit adminSaisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Pour que l'ensemble du certificat présenté pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans IdM, autorisant uniquement les certificats émis par
AD-ROOT-CAdu domaineAD.EXAMPLE.COMpour l'authentification :# ipa certmaprule-addsimpleADrule--matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "simpleADrule" ------------------------------------------------------- Rule name: simpleADrule Mapping rule: (userCertificate;binary={cert!bin}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUELe System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD :
# systemctl restart sssd
9.5.3. Ajout d'un certificat à l'ID override d'un utilisateur AD dans l'interface web IdM
-
Naviguez vers
IdentityID ViewsDefault Trust View. Cliquez sur
Add.Figure 9.11. Ajout d'un nouvel identifiant d'utilisateur dans l'interface web de l'IdM
-
Dans le champ
User to override, entrezad_user@ad.example.com. Copiez et collez le certificat de
ad_userdans le champCertificate.Figure 9.12. Configuration de l'annulation de l'ID utilisateur pour un utilisateur AD
-
Cliquez sur
Add.
Verification steps
Vérifiez que l'utilisateur et le certificat sont liés :
Utilisez l'utilitaire
sss_cachepour invalider l'enregistrement dead_user@ad.example.comdans le cache SSSD et forcer le rechargement des informations dead_user@ad.example.com:# sss_cache -u ad_user@ad.example.comExécutez la commande
ipa certmap-matchavec le nom du fichier contenant le certificat de l'utilisateur AD :# ipa certmap-match ad_user_cert.pem -------------- 1 user matched -------------- Domain: AD.EXAMPLE.COM User logins: ad_user@ad.example.com ---------------------------- Number of entries returned 1 ----------------------------
Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com.
9.5.4. Ajout d'un certificat à l'ID override d'un utilisateur AD dans la CLI IdM
Ressources supplémentaires
Obtenir les informations d'identification de l'administrateur :
# kinit adminStockez le blob du certificat dans une nouvelle variable appelée
CERT:# CERT=`cat ad_user_cert.pem | tail -n 2| head -n -1 | tr -d '\r\n'\`Ajoutez le certificat de
ad_user@ad.example.comau compte d'utilisateur à l'aide de la commandeipa idoverrideuser-add-cert:# ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT
Verification steps
Vérifiez que l'utilisateur et le certificat sont liés :
Utilisez l'utilitaire
sss_cachepour invalider l'enregistrement dead_user@ad.example.comdans le cache SSSD et forcer le rechargement des informations dead_user@ad.example.com:# sss_cache -u ad_user@ad.example.comExécutez la commande
ipa certmap-matchavec le nom du fichier contenant le certificat de l'utilisateur AD :# ipa certmap-match ad_user_cert.pem -------------- 1 user matched -------------- Domain: AD.EXAMPLE.COM User logins: ad_user@ad.example.com ---------------------------- Number of entries returned 1 ----------------------------
Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com.
