4.3. Obtenir l'émetteur d'un certificat pour l'utiliser dans une règle de correspondance

Procédure

1. Obtenez les informations sur l'utilisateur à partir du certificat. Utilisez l'utilitaire d'affichage et de signature de certificats openssl x509 avec :

   • l'option -noout pour empêcher la sortie d'une version encodée de la requête
   • l'option -issuer pour éditer le nom de l'émetteur
   • l'option -in pour spécifier le nom du fichier d'entrée à partir duquel le certificat doit être lu

   • l'option -nameopt avec la valeur RFC2253 pour afficher la sortie avec le nom distinctif relatif (RDN) le plus spécifique en premier

     Si le fichier d'entrée contient un certificat de gestion d'identité, la sortie de la commande montre que l'émetteur est défini à l'aide des informations de Organisation:

     # openssl x509 -noout -issuer -in idm_user.crt -nameopt RFC2253
     issuer=CN=Certificate Authority,O=REALM.EXAMPLE.COM

     Si le fichier d'entrée contient un certificat Active Directory, la sortie de la commande montre que l'émetteur est défini à l'aide des informations de Domain Component:

     # openssl x509 -noout -issuer -in ad_user.crt -nameopt RFC2253
     issuer=CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM

2. Optionnellement, pour créer une nouvelle règle de mappage dans le CLI basée sur une règle de correspondance qui spécifie que l'émetteur du certificat doit être le AD-WIN2012R2-CA extrait du domaine ad.example.com et que le sujet du certificat doit correspondre à l'entrée certmapdata dans un compte d'utilisateur dans l'IdM :

   # ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=AD-WIN2012R2-CA,DC=AD,DC=EXAMPLE,DC=COM' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'