14.2. AD ユーザーエントリーに証明書またはマッピングデータが含まれていない場合に、IdM Web UI で証明書マッピングルールを追加する
- 管理者として IdM Web UI にログインします。
-
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
の順に移動します。 Add
をクリックします。図14.1 IdM Web UI で新しい証明書マッピングルールの追加
- ルール名を入力します。
マッピングルールを入力します。認証するために IdM に提示された証明書全体を、IdM の AD ユーザーエントリーのユーザー ID オーバーライドエントリーに保存されている証明書と比較できるようにするには、次のコマンドを実行します。
(userCertificate;binary={cert!bin})
(userCertificate;binary={cert!bin})
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注記証明書には SAN としてのユーザープリンシパル名も含まれており、最新の更新では証明書の SID 拡張子にユーザーの SID も含まれているため、これらのフィールドを使用して証明書をユーザーにマップすることもできます。たとえば、ユーザーの SID を使用する場合は、このマッピングルールを
LDAPU1:(objectsid={sid})
に置き換えます。証明書マッピングの詳細は、システム上のsss-certmap
man ページを参照してください。マッチングルールを入力します。たとえば、
AD.EXAMPLE.COM
ドメインのAD-ROOT-CA
が発行する証明書のみを認証できるようにするには、次のコマンドを実行します。<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ドメイン名を入力します。たとえば、
ad.example.com
ドメインでユーザーを検索するには、以下を実行します。図14.2 AD に証明書やマッピングデータが保存されていないユーザーに対する証明書マッピングルール
-
Add
をクリックします。 System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにするには、CLI で SSSD を再起動します。
systemctl restart sssd
# systemctl restart sssd
Copy to Clipboard Copied! Toggle word wrap Toggle overflow