12.2. AD エントリーに証明書全体が含まれているユーザーに対して、IdM Web UI で証明書マッピングルールを追加する

手順

1. 管理者として IdM Web UI にログインします。
2. Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules の順に移動します。

3. Add をクリックします。

   IdM Web UI で新しい証明書マッピングルールを追加する image::new-certmaprule-add.png[認証タブの証明書アイデンティティーマッピングルールサブページを表示した IdM Web UI のスクリーンショット。右側の追加ボタンがハイライト表示されています。

4. ルール名を入力します。

5. マッピングルールを入力します。認証のために IdM に提示された証明書全体を、AD で利用可能な証明書全体と比較するには、次のコマンドを実行します。

   (userCertificate;binary={cert!bin})

   注記

   完全な証明書を使用してマッピングする場合、また、証明書を更新する場合は、新しい証明書を AD ユーザーオブジェクトに必ず追加する必要があります。

6. マッチングルールを入力します。たとえば、AD.EXAMPLE.COM ドメインの AD-ROOT-CA が発行する証明書のみを認証できるようにするには、次のコマンドを実行します。

   <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

   AD に保存されている証明書を持つユーザーの証明書マッピングルール image::certmaprule-add-details-ad-cert.png[証明書アイデンティティーマッピングルールの追加ポップアップウィンドウのスクリーンショット。以下のフィールドが入力されています: ルール名 (必須) - マッピングルール - マッチングルール。優先度欄は空白で、ドメイン名ラベルの横に追加ボタンがあります。

7. Add をクリックします。

8. System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにするには、CLI で SSSD を再起動します。

   # systemctl restart sssd