14.5. IdM CLI で、AD ユーザーの ID オーバーライドに証明書を追加する

ipa idoverrideuser-add-cert コマンドは、Base64 エンコードされた証明書を AD ユーザーの ID オーバーライドに直接リンクします。この CLI メソッドは、証明書マッピングルールがユーザーを正常に認証するために必要なデータ関連付けを確立します。

手順

証明書 blob を CERT という新しい変数に格納します。

# CERT=$(openssl x509 -in /path/to/certificate -outform der|base64 -w0)

ipa idoverrideuser-add-cert コマンドを使用して、ad_user@ad.example.com の証明書をユーザーアカウントに追加します。
```
# ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT
```

検証

sss_cache ユーティリティーを使用して、SSSD キャッシュで ad_user@ad.example.com のレコードを無効にし、ad_user@ad.example.com 情報の再読み込みを強制します。
```
# sss_cache -u ad_user@ad.example.com
```
AD ユーザーの証明書が含まれるファイルの名前で、ipa certmap-match コマンドを実行します。
```
# ipa certmap-match ad_user_cert.pem
```
```
--------------
1 user matched
--------------
 Domain: AD.EXAMPLE.COM
 User logins: ad_user@ad.example.com
----------------------------
Number of entries returned 1
----------------------------
```
この出力により、証明書マッピングデータが ad_user@ad.example.com に追加されていること、および AD ユーザーエントリーに証明書やマッピングデータがない場合に、証明書マッピングルールを追加するで定義した対応するマッピングルールが存在することが確認されます。これは、定義した証明書マッピングデータに一致する証明書を使用して、ad_user@ad.example.com として認証できることを意味します。