9.5. Configuration du mappage des certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage
Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD ne contient ni le certificat entier ni les données de mappage de certificats.
Conditions préalables
- L'utilisateur n'a pas de compte dans IdM.
-
L'utilisateur a un compte dans AD qui ne contient ni le certificat complet ni l'attribut
altSecurityIdentities
, l'équivalent AD de l'attribut IdMcertmapdata
. -
L'administrateur IdM dispose de l'ensemble du certificat de l'utilisateur AD à ajouter au site
user ID override
de l'utilisateur AD dans IdM.
9.5.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM
- Se connecter à l'interface web IdM en tant qu'administrateur.
-
Naviguez vers
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
. Cliquez sur
Add
.Figure 9.9. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM
- Saisissez le nom de la règle.
Saisissez la règle de mappage. Pour que l'ensemble du certificat présenté à l'IdM pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans l'IdM :
(userCertificate;binary={cert!bin})
Saisissez la règle de correspondance. Par exemple, pour autoriser uniquement les certificats émis par
AD-ROOT-CA
du domaineAD.EXAMPLE.COM
à s'authentifier :<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Saisissez le nom de domaine. Par exemple, pour rechercher des utilisateurs dans le domaine
ad.example.com
:Figure 9.10. Règle de mappage des certificats pour un utilisateur sans certificat ni données de mappage stockées dans AD
-
Cliquez sur
Add
. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans l'interface CLI :
# systemctl restart sssd
9.5.2. Ajout d'une règle de mappage de certificats dans la CLI IdM
Obtenir les informations d'identification de l'administrateur :
# kinit admin
Saisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Pour que l'ensemble du certificat présenté pour l'authentification soit comparé au certificat stocké dans l'entrée de remplacement de l'ID utilisateur de l'entrée de l'utilisateur AD dans IdM, autorisant uniquement les certificats émis par
AD-ROOT-CA
du domaineAD.EXAMPLE.COM
pour l'authentification :# ipa certmaprule-add
simpleADrule
--matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "simpleADrule" ------------------------------------------------------- Rule name: simpleADrule Mapping rule: (userCertificate;binary={cert!bin}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUELe System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD :
# systemctl restart sssd
9.5.3. Ajout d'un certificat à l'ID override d'un utilisateur AD dans l'interface web IdM
-
Naviguez vers
Identity
ID Views
Default Trust View
. Cliquez sur
Add
.Figure 9.11. Ajout d'un nouvel identifiant d'utilisateur dans l'interface web de l'IdM
-
Dans le champ
User to override
, entrezad_user@ad.example.com
. Copiez et collez le certificat de
ad_user
dans le champCertificate
.Figure 9.12. Configuration de l'annulation de l'ID utilisateur pour un utilisateur AD
-
Cliquez sur
Add
.
Verification steps
Vérifiez que l'utilisateur et le certificat sont liés :
Utilisez l'utilitaire
sss_cache
pour invalider l'enregistrement dead_user@ad.example.com
dans le cache SSSD et forcer le rechargement des informations dead_user@ad.example.com
:# sss_cache -u ad_user@ad.example.com
Exécutez la commande
ipa certmap-match
avec le nom du fichier contenant le certificat de l'utilisateur AD :# ipa certmap-match ad_user_cert.pem -------------- 1 user matched -------------- Domain: AD.EXAMPLE.COM User logins: ad_user@ad.example.com ---------------------------- Number of entries returned 1 ----------------------------
Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com
et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com
.
9.5.4. Ajout d'un certificat à l'ID override d'un utilisateur AD dans la CLI IdM
Ressources supplémentaires
Obtenir les informations d'identification de l'administrateur :
# kinit admin
Stockez le blob du certificat dans une nouvelle variable appelée
CERT
:# CERT=`cat ad_user_cert.pem | tail -n 2| head -n -1 | tr -d '\r\n'\`
Ajoutez le certificat de
ad_user@ad.example.com
au compte d'utilisateur à l'aide de la commandeipa idoverrideuser-add-cert
:# ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT
Verification steps
Vérifiez que l'utilisateur et le certificat sont liés :
Utilisez l'utilitaire
sss_cache
pour invalider l'enregistrement dead_user@ad.example.com
dans le cache SSSD et forcer le rechargement des informations dead_user@ad.example.com
:# sss_cache -u ad_user@ad.example.com
Exécutez la commande
ipa certmap-match
avec le nom du fichier contenant le certificat de l'utilisateur AD :# ipa certmap-match ad_user_cert.pem -------------- 1 user matched -------------- Domain: AD.EXAMPLE.COM User logins: ad_user@ad.example.com ---------------------------- Number of entries returned 1 ----------------------------
Le résultat confirme que des données de mappage de certificats ont été ajoutées à ad_user@ad.example.com
et qu'une règle de mappage correspondante définie dans Ajout d'une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que ad_user@ad.example.com
.