Red Hat Summit69.4. IdM に保存されたユーザーの証明書マッピングの設定
ユーザーに設定されている証明書認証が IdM に保存されている場合に IdM で証明書マッピングを有効にするには、システム管理者は次のタスクを完了する必要があります。
- 証明書マッピングルールを設定して、マッピングルールおよび証明書マッピングデータエントリーで指定された条件に一致する証明書を持つ IdM ユーザーが IdM に対して認証できるようにします。
- IdM ユーザーエントリーに証明書マッピングデータを入力すると、証明書マッピングデータエントリーで指定された値がすべて含まれている場合に、ユーザーが複数の証明書を使用して認証できるようになります。
前提条件
- IdM にユーザーがアカウントがある。
- 管理者が、ユーザーエントリーに追加する証明書全体または証明書マッピングデータのいずれかを所有している。
69.4.1. IdM Web UI で証明書マッピングルールの追加
- 管理者として IdM Web UI にログインします。
-
AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rulesの順に移動します。 Addをクリックします。図69.1 IdM Web UI で新しい証明書マッピングルールの追加
- ルール名を入力します。
マッピングルールを入力します。たとえば、IdM に提示された証明書の
IssuerおよびSubjectエントリーを Idm で検索し、提示された証明書に含まれるこの 2 つのエントリーで見つかった情報に基づいて認証するかどうかを決定するには、次のコマンドを実行します。(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})Copy to Clipboard Copied! Toggle word wrap Toggle overflow マッチングルールを入力します。たとえば、
EXAMPLE.ORG組織のスマートカード CAが発行する証明書のみが IdM に対して認証できるようにするには、次のコマンドを実行します。<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG
<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORGCopy to Clipboard Copied! Toggle word wrap Toggle overflow 図69.2 IdM Web UI への証明書マッピングルールの詳細の入力
-
ダイアログボックスの下部にある
Addをクリックして、ルールを追加し、ダイアログボックスを閉じます。 System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにする場合は、次のコマンドを実行して SSSD を再起動します。
systemctl restart sssd
# systemctl restart sssdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
これで、証明書マッピングルールセットが設定され、スマートカードの証明書で検出されたマッピングルールで指定されたデータの種類と、IdM ユーザーエントリーの証明書マッピングデータを比較します。一致するファイルが見つかると、一致するユーザーが認証されます。
69.4.2. IdM CLI での証明書マッピングルールの追加
管理者の認証情報を取得します。
kinit admin
# kinit adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow マッピングルールを入力し、マッピングルールの基となっているマッチングルールを入力します。たとえば、提示する証明書内の
IssuerおよびSubjectのエントリーを IdM で検索し、提示された証明書に含まれるこの 2 つのエントリーで見つかった情報に基づいて認証するかどうかを決定し、EXAMPLE.ORG組織のSmart Card CAが発行する証明書のみを認識するには、次のコマンドを実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにする場合は、次のコマンドを実行して SSSD を再起動します。
systemctl restart sssd
# systemctl restart sssdCopy to Clipboard Copied! Toggle word wrap Toggle overflow
これで、証明書マッピングルールセットが設定され、スマートカードの証明書で検出されたマッピングルールで指定されたデータの種類と、IdM ユーザーエントリーの証明書マッピングデータを比較します。一致するファイルが見つかると、一致するユーザーが認証されます。
69.4.3. IdM Web UI のユーザーエントリーへの証明書マッピングデータの追加
- 管理者として IdM Web UI にログインします。
-
UsersActive usersidm_userに移動します。 -
Certificate mapping dataオプションを見つけ、Addをクリックします。 以下のいずれかのオプションを選択します。
idm_userの証明書がある場合:コマンドラインで、
catユーティリティーまたはテキストエディターを使用して証明書を表示します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 証明書をコピーします。
IdM Web UI で、
Certificateの横にあるAddをクリックして、開いたウィンドウに証明書を貼り付けます。図69.3 ユーザーの証明書マッピングデータの追加 - 証明書
-
idm_userの証明書を自由に使用できないけれど、証明書のIssuerおよびSubjectがわかっている場合は、Issuer and subjectのラジオボタンをオンにして、2 つのそれぞれのボックスに値を入力します。
図69.4 ユーザーの証明書マッピングデータの追加 - 発行者および発行先
-
-
Addをクリックします。
検証
必要に応じて、.pem 形式の証明書全体へのアクセスがある場合は、ユーザーと証明書がリンクされていることを確認します。
sss_cacheユーティリティーを使用して、SSSD キャッシュでidm_userの記録を無効にし、idm_user情報を再読み込みします。sss_cache -u idm_user
# sss_cache -u idm_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipa certmap-matchコマンドに、IdM ユーザーの証明書が含まれるファイルの名前を付けて実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow この出力では、証明書マッピングデータが
idm_userに追加され、対応するマッピングルールが存在することを確認します。これは、定義した証明書マッピングデータに一致する証明書を使用して、idm_userとして認証できることを意味します。
69.4.4. IdM CLI のユーザーエントリーへの証明書マッピングデータの追加
管理者の認証情報を取得します。
kinit admin
# kinit adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のいずれかのオプションを選択します。
-
idm_userの証明書をお持ちの場合は、ipa user-add-certコマンドを使用して証明書をユーザーアカウントに追加します。
# CERT=$(openssl x509 -in idm_user_cert.pem -outform der|base64 -w0) ipa user-add-certmapdata idm_user --certificate $CERT
# CERT=$(openssl x509 -in idm_user_cert.pem -outform der|base64 -w0) # ipa user-add-certmapdata idm_user --certificate $CERTCopy to Clipboard Copied! Toggle word wrap Toggle overflow idm_userの証明書を持っていないが、ユーザーの証明書のIssuerおよびSubjectがわかっている場合は、以下を実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
検証
必要に応じて、.pem 形式の証明書全体へのアクセスがある場合は、ユーザーと証明書がリンクされていることを確認します。
sss_cacheユーティリティーを使用して、SSSD キャッシュでidm_userの記録を無効にし、idm_user情報を再読み込みします。sss_cache -u idm_user
# sss_cache -u idm_userCopy to Clipboard Copied! Toggle word wrap Toggle overflow ipa certmap-matchコマンドに、IdM ユーザーの証明書が含まれるファイルの名前を付けて実行します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow この出力では、証明書マッピングデータが
idm_userに追加され、対応するマッピングルールが存在することを確認します。これは、定義した証明書マッピングデータに一致する証明書を使用して、idm_userとして認証できることを意味します。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}