68.9. 여러 ID 매핑 규칙을 하나로 결합
여러 ID 매핑 규칙을 하나의 결합 규칙으로 결합하려면 |
(또는) 문자를 사용하여 개별 매핑 규칙 앞에 두고 ()
대괄호를 사용하여 구분합니다. 예를 들면 다음과 같습니다.
인증서 매핑 필터 예 1
$ ipa certmaprule-add ad_cert_for_ipa_and_ad_users \ --maprule='(|(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' \ --domain=ad.example.com
위 예제에서 --maprule
옵션의 필터 정의에는 다음 기준이 포함됩니다.
-
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
는 스마트 카드 인증서 인증서에서 주체와 발급자를 IdM 사용자 계정의ipacertmapdata
속성 값으로 연결하는 필터입니다. IdM에서 인증서 매핑 규칙 추가에설명된 대로 -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
는 신뢰할 수 있는 AD 도메인 추가에 설명된 대로 스마트 카드 인증서의 제목과 발급자를 AD 사용자 계정의altSecurityIdentities
속성 값으로 연결하는 필터입니다. -
domain
=ad.example.com
옵션을 추가하면 지정된 인증서에 매핑된 사용자가 로컬idm.example.com 도메인뿐만 아니라 ad.example.com
도메인에서도 검색됩니다.
map rule
옵션의 필터 정의는 논리 연산자 |
(또는)를 허용하므로 여러 기준을 지정할 수 있습니다. 이 경우 규칙은 기준 중 하나 이상을 충족하는 모든 사용자 계정을 매핑합니다.
인증서 매핑 필터 예 2
$ ipa certmaprule-add ipa_cert_for_ad_users \ --maprule='(|(userCertificate;binary={cert!bin})(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=Certificate Authority,O=REALM.EXAMPLE.COM' \ --domain=idm.example.com --domain=ad.example.com
위 예제에서 --maprule
옵션의 필터 정의에는 다음 기준이 포함됩니다.
-
userCertificate;binary={cert!bin}
은 전체 인증서를 포함하는 사용자 항목을 반환하는 필터입니다. AD 사용자의 경우 AD 사용자 항목에 인증서 또는 매핑 데이터가 없는 경우 이러한 유형의 필터를 생성하는 데 인증서 매핑 규칙 추가 에 자세히 설명되어 있습니다. -
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
은 IdM 사용자 계정의 인증서 매핑 규칙에 설명된 대로 스마트 카드 인증서의 주체와 발급자를 IdM 사용자 계정의ipacertmapdata
속성 값으로 연결하는 필터입니다. -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
는 신뢰할 수 있는 AD 도메인이 사용자 인증서를 추가하도록 구성된 경우 인증서 매핑 규칙 추가에 설명된 대로 스마트 카드 인증서의 제목과 발급자를 AD 사용자 계정의altSecurityIdentities
속성 값으로 연결하는 필터입니다.
map rule
옵션의 필터 정의는 논리 연산자 |
(또는)를 허용하므로 여러 기준을 지정할 수 있습니다. 이 경우 규칙은 기준 중 하나 이상을 충족하는 모든 사용자 계정을 매핑합니다.