10.2. IdM의 ID 매핑 규칙 구성 요소
IdM에서 ID 매핑 규칙을 생성할 때 다양한 구성 요소를 구성합니다. 각 구성 요소에는 재정의할 수 있는 기본값이 있습니다. 웹 UI 또는 CLI에서 구성 요소를 정의할 수 있습니다. CLI에서 ID 매핑 규칙은 ipa certmaprule-add 명령을 사용하여 생성됩니다.
- 매핑 규칙
매핑 규칙 구성 요소는 인증서를 하나 이상의 사용자 계정과 연결(또는 매핑)합니다. 규칙은 인증서를 의도한 사용자 계정과 연결하는 LDAP 검색 필터를 정의합니다.
다른 CA(인증 기관)에서 발급한 인증서에는 다른 속성이 있을 수 있으며 다른 도메인에서 사용할 수 있습니다. 따라서 IdM은 매핑 규칙을 무조건 적용하지 않고 적절한 인증서에만 적용합니다. 적절한 인증서는 일치하는 규칙을 사용하여 정의됩니다.
매핑 규칙 옵션을 비워 두면 인증서가 DER 인코딩 바이너리 파일로
userCertificate속성에서 검색됩니다.--maprule옵션을 사용하여 CLI에서 매핑 규칙을 정의합니다.- 일치 규칙
일치하는 규칙 구성 요소는 매핑 규칙을 적용할 인증서를 선택합니다. 기본 일치 규칙은
digitalSignature 키사용과 함께 인증서와 일치하며clientAuth는 확장된 키사용량과 일치합니다.--matchrule옵션을 사용하여 CLI에서 일치하는 규칙을 정의합니다.- 도메인 목록
domain list는 ID 매핑 규칙을 처리할 때 IdM에서 사용자를 검색할 ID 도메인을 지정합니다. 옵션을 지정하지 않으면 IdM에서 IdM 클라이언트가 속하는 로컬 도메인에서만 사용자를 검색합니다.
domain 옵션을 사용하여 CLI에서
도메인을 정의합니다.- 우선 순위
인증서에 여러 규칙이 적용되는 경우 우선 순위가 가장 높은 규칙이 우선합니다. 다른 모든 규칙은 무시됩니다.
- 숫자 값이 낮으면 ID 매핑 규칙의 우선 순위가 높습니다. 예를 들어 우선 순위 1이 있는 규칙은 우선 순위가 2인 규칙보다 우선 순위가 높습니다.
- 규칙에 우선순위 값이 정의되어 있지 않으면 우선순위가 가장 낮습니다.
--priority옵션을 사용하여 CLI에서 매핑 규칙 우선 순위를 정의합니다.
인증서 매핑 규칙 예
CLI를 사용하여 해당 인증서의 주체 가 IdM의 사용자 계정에 있는 certmapdata 항목과 일치하는 경우 EXAMPLE.ORG 조직의 스마트 카드 CA 에서 발급한 인증서에 대해 인증을 허용하는 인증서 매핑 규칙을 사용하여 다음을 수행합니다.
# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'