43.5.2.2. Adicionar um certificado à substituição da ID de um usuário AD no CLI do IdM
Obter as credenciais do administrador:
# kinit admin
Adicione o certificado de
ad_user@ad.example.com
à conta do usuário usando o comandoipa idoverrideuser-add-cert
:# CERT=`cat ad_user_cert.pem | tail -n +2| head -n -1 | tr -d '\r\n'\` # ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT
Opcionalmente, verificar se o usuário e o certificado estão ligados:
Use o utilitário
sss_cache
para invalidar o registro dead_user@ad.example.com
no cache do SSSD e forçar uma recarga das informações dead_user@ad.example.com
:# sss_cache -u ad_user@ad.example.com
Execute o comando
ipa certmap-match
com o nome do arquivo contendo o certificado do usuário AD:# ipa certmap-match ad_user_cert.pem -------------- 1 user matched -------------- Domain: AD.EXAMPLE.COM User logins: ad_user@ad.example.com ---------------------------- Number of entries returned 1 ----------------------------
A saída confirma que você tem dados de mapeamento de certificado adicionados a
ad_user@ad.example.com
e que uma regra de mapeamento correspondente definida em Adicionar uma regra de mapeamento de certificado se a entrada do usuário AD não contiver nenhum certificado ou dados de mapeamento existentes. Isto significa que você pode usar qualquer certificado que corresponda aos dados de mapeamento de certificado definidos para autenticar comoad_user@ad.example.com
.