12.2. AD エントリーに証明書全体が含まれているユーザーに対して、IdM Web UI で証明書マッピングルールを追加する

手順

1. 管理者として IdM Web UI にログインします。
2. Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules の順に移動します。

3. Add をクリックします。

   IdM Web UI で新しい証明書マッピングルールを追加する image::new-certmaprule-add.png[Authentication タブの "Certificate Identity Mapping Rules" サブページを表示した IdM Web UI のスクリーンショット。右側にある "Add" ボタンが強調表示されています。]

4. ルール名を入力します。

5. マッピングルールを入力します。認証のために IdM に提示された証明書全体を、AD で利用可能な証明書全体と比較するには、次のコマンドを実行します。

   (userCertificate;binary={cert!bin})

   注記

   完全な証明書を使用してマッピングする場合、また、証明書を更新する場合は、新しい証明書を AD ユーザーオブジェクトに必ず追加する必要があります。

6. マッチングルールを入力します。たとえば、AD.EXAMPLE.COM ドメインの AD-ROOT-CA が発行する証明書のみを認証できるようにするには、次のコマンドを実行します。

   <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

   AD に保存されている証明書があるユーザーの証明書マッピングルール image::certmaprule-add-details-ad-cert.png["Add Certificate Identity Mapping Rule" ポップアップウィンドウのスクリーンショット。以下のフィールドが入力されています: Rule name (必須) - Mapping rule - Matching rule。Priority のフィールドは空白で、"Domain name" のラベルの横に "Add" ボタンがあります。]

7. Add をクリックします。

8. System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにするには、CLI で SSSD を再起動します。

   # systemctl restart sssd