Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

9.3. Configuration du mappage des certificats pour les utilisateurs dont l'entrée AD contient l'intégralité du certificat

download PDF

Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement d'IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD contient le certificat entier.

Conditions préalables

  • L'utilisateur n'a pas de compte dans IdM.
  • L'utilisateur dispose d'un compte dans AD qui contient un certificat.
  • L'administrateur IdM a accès aux données sur lesquelles la règle de mappage des certificats IdM peut être basée.

9.3.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM

  1. Se connecter à l'interface web IdM en tant qu'administrateur.
  2. Naviguez vers Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.

  3. Cliquez sur Add.

    Figure 9.5. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM

    Screenshot of the IdM Web UI displaying the "Certificate Identity Mapping Rules" sub-page from the Authentication tab. The "Add" button to the right is highlighted.
  4. Saisissez le nom de la règle.

  5. Saisissez la règle de mappage. Pour que l'ensemble du certificat présenté à IdM pour l'authentification soit comparé à ce qui est disponible dans AD : 

    (userCertificate;binary={cert!bin})

  6. Saisissez la règle de correspondance. Par exemple, pour autoriser uniquement les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM à s'authentifier : 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

    Figure 9.6. Règle de mappage des certificats pour un utilisateur dont le certificat est stocké dans AD

    Screenshot of the "Add Certificate Identity Mapping Rule" pop-up window with the following fields filled in: Rule name (which is required) - Mapping rule - Matching rule. The Priority field is blank and there is also an "Add" button next to the "Domain name" label.
  7. Cliquez sur Add.

  8. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans le CLI: : 

    # systemctl restart sssd

9.3.2. Ajout d'une règle de mappage de certificats dans la CLI IdM

  1. Obtenir les informations d'identification de l'administrateur : 

    # kinit admin

  2. Saisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Comparer l'ensemble du certificat présenté pour l'authentification à ce qui est disponible dans AD, en autorisant uniquement les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM pour l'authentification : 

    # ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "simpleADrule"
-------------------------------------------------------
  Rule name: simpleADrule
  Mapping rule: (userCertificate;binary={cert!bin})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE

  3. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD : 

    # systemctl restart sssd
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.