9.2. IdM의 ID 매핑 규칙의 구성 요소
IdM에서 ID 매핑 규칙을 생성할 때 다양한 구성 요소를 구성합니다. 각 구성 요소에는 재정의할 수 있는 기본값이 있습니다. 웹 UI 또는 CLI에서 구성 요소를 정의할 수 있습니다. CLI에서 ipa certmaprule-add 명령을 사용하여 ID 매핑 규칙이 생성됩니다.
- 매핑 규칙
매핑 규칙 구성 요소는 하나 이상의 사용자 계정과 인증서를 연결(또는 매핑)합니다. 규칙은 인증서를 의도된 사용자 계정과 연결하는 LDAP 검색 필터를 정의합니다.
다른 CA(인증 기관)에서 발급한 인증서는 속성이 다를 수 있으며 다른 도메인에서 사용할 수 있습니다. 따라서 IdM은 무조건 매핑 규칙을 적용하지 않고 적절한 인증서에만 적용됩니다. 적절한 인증서는 일치하는 규칙을 사용하여 정의합니다.
매핑 규칙 옵션을 비워 두면 DER 인코딩 바이너리 파일로
userCertificate속성에서 인증서가 검색됩니다.--maprule옵션을 사용하여 CLI에서 매핑 규칙을 정의합니다.- 일치 규칙
일치하는 규칙 구성 요소는 매핑 규칙을 적용할 인증서를 선택합니다. 기본 일치 규칙은
디지털 서명 키 사용 및사용과의 인증서와 일치합니다.clientAuth 확장 키--matchrule옵션을 사용하여 CLI에서 일치하는 규칙을 정의합니다.- 도메인 목록
도메인 목록은 ID 매핑 규칙을 처리할 때 IdM에서 사용자를 검색할 ID 도메인을 지정합니다. 옵션을 지정하지 않은 경우 IdM은 IdM 클라이언트가 속한 로컬 도메인에서 사용자만 검색합니다.
--domain옵션을 사용하여 CLI에서 도메인을 정의합니다.- 우선 순위
인증서에 여러 규칙이 적용되면 우선 순위가 가장 높은 규칙이 우선합니다. 다른 모든 규칙은 무시됩니다.
- 숫자 값이 낮으면 ID 매핑 규칙의 우선 순위가 높습니다. 예를 들어 우선순위 1이 있는 규칙은 우선순위 2가 있는 규칙보다 우선 순위가 높습니다.
- 규칙의 우선순위 값이 정의되지 않은 경우 우선 순위가 가장 낮습니다.
--priority옵션을 사용하여 CLI에서 매핑 규칙 우선 순위를 정의합니다.
인증서 매핑 규칙 예
CLI를 사용하여 해당 인증서의 주체 가 IdM의 사용자 계정에 있는 certmapdata 항목과 일치하는 경우 EXAMPLE.ORG 조직의 스마트 카드 CA 에서 발급한 인증서에 대해 인증을 허용하는 인증서 매핑 규칙을 사용하여 다음을 수행합니다.
# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'