14.2. AD ユーザーエントリーに証明書またはマッピングデータが含まれていない場合に、IdM Web UI で証明書マッピングルールを追加する

手順

1. 管理者として IdM Web UI にログインします。
2. Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules の順に移動します。

3. Add をクリックします。

   IdM Web UI で新しい証明書マッピングルールを追加する image::new-certmaprule-add.png[認証タブの証明書アイデンティティーマッピングルールサブページを表示した IdM Web UI のスクリーンショット。右側の追加ボタンがハイライト表示されています。

4. ルール名を入力します。

5. マッピングルールを入力します。認証するために IdM に提示された証明書全体を、IdM の AD ユーザーエントリーのユーザー ID オーバーライドエントリーに保存されている証明書と比較できるようにするには、次のコマンドを実行します。

   (userCertificate;binary={cert!bin})

   注記

   証明書には SAN としてのユーザープリンシパル名も含まれており、最新の更新では証明書の SID 拡張子にユーザーの SID も含まれているため、これらのフィールドを使用して証明書をユーザーにマップすることもできます。たとえば、ユーザーの SID を使用する場合は、このマッピングルールを LDAPU1:(objectsid={sid}) に置き換えます。証明書マッピングの詳細は、システム上の sss-certmap man ページを参照してください。

6. マッチングルールを入力します。たとえば、AD.EXAMPLE.COM ドメインの AD-ROOT-CA が発行する証明書のみを認証できるようにするには、次のコマンドを実行します。

   <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

7. ドメイン名を入力します。たとえば、ad.example.com ドメインでユーザーを検索するには、以下を実行します。

   AD に証明書またはマッピングデータが保存されていないユーザーの証明書マッピングルール image::certmaprule-add-details-ad-cert.png[証明書アイデンティティーマッピングルールの追加ポップアップウィンドウのスクリーンショット。次のフィールドが入力されています: ルール名 (必須) - マッピングルール - マッチングルール。優先度欄は空白で、ドメイン名ラベルの横に追加ボタンがあります。

8. Add をクリックします。

9. System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにするには、CLI で SSSD を再起動します。

   # systemctl restart sssd