9.3. Configuration du mappage des certificats pour les utilisateurs dont l'entrée AD contient l'intégralité du certificat
Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement d'IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD contient le certificat entier.
Conditions préalables
- L'utilisateur n'a pas de compte dans IdM.
- L'utilisateur dispose d'un compte dans AD qui contient un certificat.
- L'administrateur IdM a accès aux données sur lesquelles la règle de mappage des certificats IdM peut être basée.
9.3.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM
- Se connecter à l'interface web IdM en tant qu'administrateur.
-
Naviguez vers
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
. Cliquez sur
Add
.Figure 9.5. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM
- Saisissez le nom de la règle.
Saisissez la règle de mappage. Pour que l'ensemble du certificat présenté à IdM pour l'authentification soit comparé à ce qui est disponible dans AD :
(userCertificate;binary={cert!bin})
Saisissez la règle de correspondance. Par exemple, pour autoriser uniquement les certificats émis par
AD-ROOT-CA
du domaineAD.EXAMPLE.COM
à s'authentifier :<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Figure 9.6. Règle de mappage des certificats pour un utilisateur dont le certificat est stocké dans AD
-
Cliquez sur
Add
. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans le CLI: :
# systemctl restart sssd
9.3.2. Ajout d'une règle de mappage de certificats dans la CLI IdM
Obtenir les informations d'identification de l'administrateur :
# kinit admin
Saisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Comparer l'ensemble du certificat présenté pour l'authentification à ce qui est disponible dans AD, en autorisant uniquement les certificats émis par
AD-ROOT-CA
du domaineAD.EXAMPLE.COM
pour l'authentification :# ipa certmaprule-add
simpleADrule
--matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "simpleADrule" ------------------------------------------------------- Rule name: simpleADrule Mapping rule: (userCertificate;binary={cert!bin}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUELe System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD :
# systemctl restart sssd