68.6. AD 사용자 항목이 전체 인증서가 포함된 사용자에 대한 인증서 매핑 구성
이 사용자 사례에서는 IdM 배포를 AD(Active Directory)와 신뢰하는 경우 IdM에서 인증서 매핑을 활성화하는 데 필요한 단계를 설명하고, 사용자는 AD에 저장되고 AD의 사용자 항목에 전체 인증서가 포함되어 있습니다.
사전 요구 사항
- 사용자에게 IdM에 계정이 없습니다.
- 사용자는 인증서를 포함하는 AD에 계정이 있습니다.
- IdM 관리자는 IdM 인증서 매핑 규칙을 기반으로 할 수 있는 데이터에 액세스할 수 있습니다.
PKINIT가 사용자에게 작동하도록 하려면 다음 조건 중 하나를 적용해야 합니다.
- 사용자 항목의 인증서에는 사용자 주체 이름 또는 사용자의 SID 확장이 포함됩니다.
-
AD의 사용자 항목에는
altSecurityIdentities
속성에 적절한 항목이 있습니다.
68.6.1. IdM 웹 UI에서 인증서 매핑 규칙 추가
- IdM 웹 UI에 관리자로 로그인합니다.
-
인증
인증서 ID 매핑 규칙
인증서 ID 매핑 규칙으로 이동합니다.
추가
를 클릭합니다.그림 68.5. IdM 웹 UI에서 새 인증서 매핑 규칙 추가
- 규칙 이름을 입력합니다.
매핑 규칙을 입력합니다. 인증을 위해 IdM에 제공되는 전체 인증서를 AD에서 사용할 수 있는 인증서와 비교하려면 다음을 수행합니다.
(userCertificate;binary={cert!bin})
참고전체 인증서를 사용하여 매핑하는 경우 인증서를 갱신하는 경우 새 인증서를 AD 사용자 오브젝트에 추가해야 합니다.
일치하는 규칙을 입력합니다. 예를 들어 AD.
EXAMPLE.COM 도메인의
AD-ROOT-CA
에서 발급한 인증서만 인증하려면 다음을 수행하십시오.<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
그림 68.6. 인증서가 AD에 저장된 사용자의 인증서 매핑 규칙
-
추가
를 클릭합니다. SSSD(시스템 보안 서비스 데몬)는 정기적으로 인증서 매핑 규칙을 다시 읽습니다. 새로 생성된 규칙을 즉시 로드하도록 하려면 CLI에서 SSSD를 다시 시작합니다.
# systemctl restart sssd
68.6.2. IdM CLI에서 인증서 매핑 규칙 추가
관리자의 자격 증명을 가져옵니다.
# kinit admin
매핑 규칙과 매핑 규칙이 기반으로 하는 일치 규칙을 입력합니다. 인증에 대해 제공되는 전체 인증서를 AD.
EXAMPLE.COM
도메인의AD-ROOT-CA
가 인증할 수 있도록 허용하는 경우:# ipa certmaprule-add
simpleADrule
--matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "simpleADrule" ------------------------------------------------------- Rule name: simpleADrule Mapping rule: (userCertificate;binary={cert!bin}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUE참고전체 인증서를 사용하여 매핑하는 경우 인증서를 갱신하는 경우 새 인증서를 AD 사용자 오브젝트에 추가해야 합니다.
SSSD(시스템 보안 서비스 데몬)는 정기적으로 인증서 매핑 규칙을 다시 읽습니다. 새로 생성된 규칙을 즉시 로드하도록 하려면 SSSD를 다시 시작합니다.
# systemctl restart sssd