9.6. Combinaison de plusieurs règles de mappage d'identité en une seule
Ressources supplémentaires
Pour combiner plusieurs règles de mappage d'identité en une seule règle combinée, utilisez le caractère |
(ou) pour précéder les règles de mappage individuelles et séparez-les à l'aide de crochets ()
, par exemple :
Exemple de filtre de mappage de certificats 1
$ ipa certmaprule-add ad_cert_for_ipa_and_ad_users \ --maprule='(|(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' \ --domain=ad.example.com
Dans l'exemple ci-dessus, la définition du filtre dans l'option --maprule
inclut ces critères :
-
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
est un filtre qui relie le sujet et l'émetteur d'un certificat de carte à puce à la valeur de l'attributipacertmapdata
dans un compte d'utilisateur IdM, comme décrit dans Ajouter une règle de mappage de certificat dans IdM -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
est un filtre qui relie le sujet et l'émetteur d'un certificat de carte à puce à la valeur de l'attributaltSecurityIdentities
dans un compte d'utilisateur AD, comme décrit dans Ajouter une règle de mappage de certificats si le domaine AD de confiance est configuré pour mapper les certificats d'utilisateur -
L'ajout de l'option
--domain=ad.example.com
signifie que les utilisateurs associés à un certificat donné sont recherchés non seulement dans le domaine localidm.example.com
, mais aussi dans le domainead.example.com
La définition du filtre dans l'option --maprule
accepte l'opérateur logique |
(ou), ce qui permet de spécifier plusieurs critères. Dans ce cas, la règle met en correspondance tous les comptes d'utilisateurs qui répondent à au moins un des critères.
Exemple de filtre de mappage de certificats 2
$ ipa certmaprule-add ipa_cert_for_ad_users \ --maprule='(|(userCertificate;binary={cert!bin})(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=Certificate Authority,O=REALM.EXAMPLE.COM' \ --domain=idm.example.com --domain=ad.example.com
Dans l'exemple ci-dessus, la définition du filtre dans l'option --maprule
inclut ces critères :
-
userCertificate;binary={cert!bin}
est un filtre qui renvoie les entrées d'utilisateurs contenant le certificat complet. Pour les utilisateurs AD, la création de ce type de filtre est décrite en détail dans Ajouter une règle de mappage de certificats si l'entrée de l'utilisateur AD ne contient pas de certificat ou de données de mappage. -
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
est un filtre qui relie le sujet et l'émetteur d'un certificat de carte à puce à la valeur de l'attributipacertmapdata
dans un compte d'utilisateur IdM, comme décrit dans Ajouter une règle de mappage de certificat dans IdM. -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
est un filtre qui relie le sujet et l'émetteur d'un certificat de carte à puce à la valeur de l'attributaltSecurityIdentities
dans un compte d'utilisateur AD, comme décrit dans Ajouter une règle de mappage de certificats si le domaine AD de confiance est configuré pour mapper les certificats d'utilisateur.
La définition du filtre dans l'option --maprule
accepte l'opérateur logique |
(ou), ce qui permet de spécifier plusieurs critères. Dans ce cas, la règle met en correspondance tous les comptes d'utilisateurs qui répondent à au moins un des critères.