13.4. AD で証明書マッピングデータの確認

前提条件

• ユーザーアカウントにはユーザー管理アクセス権が必要です。

手順

• AD に保存されているユーザーの適切な情報が AD に含まれていることを確認するには、ldapsearch コマンドを使用します。たとえば、次のコマンドを入力して、以下の条件が適用される adserver.ad.example.com サーバーで、チェックします。

  • altSecurityIdentities 属性は、ad_user のユーザーエントリーに設定されます。

  • matchrule では、以下の条件が適用されるように指定します。

    • ad_user が AD への認証に使用する証明書が ad.example.com ドメインの AD-ROOT-CA により発行されている。

    • 発行者が <S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user である。

      $ ldapsearch -o ldif-wrap=no -LLL -h adserver.ad.example.com \
      -p 389 -D cn=Administrator,cn=users,dc=ad,dc=example,dc=com \
      -W -b cn=users,dc=ad,dc=example,dc=com "(cn=ad_user)" \
      altSecurityIdentities

      Enter LDAP Password:
      dn: CN=ad_user,CN=Users,DC=ad,DC=example,DC=com
      altSecurityIdentities: X509:<I>DC=com,DC=example,DC=ad,CN=AD-ROOT-CA<S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user