Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

9.4. Configuration du mappage des certificats si AD est configuré pour mapper les certificats d'utilisateur aux comptes d'utilisateur

download PDF

Cette histoire d'utilisateur décrit les étapes nécessaires pour activer le mappage de certificats dans IdM si le déploiement d'IdM est en confiance avec Active Directory (AD), l'utilisateur est stocké dans AD et l'entrée de l'utilisateur dans AD contient des données de mappage de certificats.

Conditions préalables

  • L'utilisateur n'a pas de compte dans IdM.
  • L'utilisateur possède un compte dans AD qui contient l'attribut altSecurityIdentities, l'équivalent AD de l'attribut IdM certmapdata.
  • L'administrateur IdM a accès aux données sur lesquelles la règle de mappage des certificats IdM peut être basée.

9.4.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM

  1. Se connecter à l'interface web IdM en tant qu'administrateur.
  2. Naviguez vers Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.

  3. Cliquez sur Add.

    Figure 9.7. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM

    Screenshot of the IdM Web UI displaying the "Certificate Identity Mapping Rules" sub-tab from the Authentication tab. The "Add" button at the right of the page is highlighted.
  4. Saisissez le nom de la règle.

  5. Saisissez la règle de mappage. Par exemple, pour que AD DC recherche les entrées Issuer et Subject dans tout certificat présenté et base sa décision d'authentification ou non sur les informations trouvées dans ces deux entrées du certificat présenté : 

    (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})

  6. Saisissez la règle de correspondance. Par exemple, pour n'autoriser que les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM à authentifier les utilisateurs de l'IdM : 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

  7. Entrez le domaine : 

    ad.example.com

    Figure 9.8. Règle de mappage des certificats si AD est configuré pour le mappage

    Screenshot of the "Add Certificate Identity Mapping Rule" pop-up window with the following fields filled in: Rule name (which is required) - Mapping rule - Matching rule. The "Priority" field is blank and there is also an "Add" button next to the "Domain name" label.
  8. Cliquez sur Add.

  9. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD dans le CLI: : 

    # systemctl restart sssd

9.4.2. Ajout d'une règle de mappage de certificats dans la CLI IdM

  1. Obtenir les informations d'identification de l'administrateur : 

    # kinit admin

  2. Saisissez la règle de mappage et la règle de correspondance sur laquelle la règle de mappage est basée. Par exemple, pour que AD recherche les entrées Issuer et Subject dans tout certificat présenté et n'autorise que les certificats émis par AD-ROOT-CA du domaine AD.EXAMPLE.COM: 

    # ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule"
-------------------------------------------------------
  Rule name: ad_configured_for_mapping_rule
  Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE

  3. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD : 

    # systemctl restart sssd

9.4.3. Vérification des données de mappage des certificats du côté AD

L'attribut altSecurityIdentities est l'équivalent dans Active Directory (AD) de l'attribut utilisateur certmapdata dans IdM. Lors de la configuration du mappage des certificats dans IdM, dans le scénario où un domaine AD de confiance est configuré pour mapper les certificats d'utilisateur aux comptes d'utilisateur, l'administrateur du système IdM doit vérifier que l'attribut altSecurityIdentities est correctement défini dans les entrées d'utilisateur dans AD.

Pour vérifier que AD contient les bonnes informations pour l'utilisateur stocké dans AD, utilisez la commande ldapsearch.

  • Par exemple, entrez la commande ci-dessous pour vérifier auprès du serveur adserver.ad.example.com que les conditions suivantes s'appliquent :

    • L'attribut altSecurityIdentities est défini dans l'entrée utilisateur de ad_user.

    • La règle du match stipule que les conditions suivantes s'appliquent :

      • Le certificat que ad_user utilise pour s'authentifier auprès d'AD a été émis par AD-ROOT-CA du domaine ad.example.com.
      • Le sujet est <S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user: 
    $ ldapsearch -o ldif-wrap=no -LLL -h adserver.ad.example.com \
-p 389 -D cn=Administrator,cn=users,dc=ad,dc=example,dc=com \
-W -b cn=users,dc=ad,dc=example,dc=com "(cn=ad_user)" \
altSecurityIdentities
Enter LDAP Password:
dn: CN=ad_user,CN=Users,DC=ad,DC=example,DC=com
altSecurityIdentities: X509:<I>DC=com,DC=example,DC=ad,CN=AD-ROOT-CA<S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.