43.4.2. Verificação dos dados de mapeamento do certificado no lado AD
O atributo altSecurityIdentities
é o equivalente ao Active Directory (AD) de certmapdata
atributo de usuário no IdM. Ao configurar o mapeamento de certificados no IdM no cenário em que um domínio AD confiável é configurado para mapear certificados de usuários para contas de usuários, o administrador do sistema IdM precisa verificar se o atributo altSecurityIdentities
está configurado corretamente nas entradas de usuário no AD.
Para verificar se o AD contém as informações corretas para o usuário armazenado no AD, use o comando ldapsearch
.
Por exemplo, digite o comando abaixo para verificar com o servidor
adserver.ad.example.com
que as seguintes condições se aplicam:-
O atributo
altSecurityIdentities
é definido na entrada do usuário dead_user
. A regra de fósforo estipula que as seguintes condições são aplicáveis:
-
O certificado que
ad_user
usa para autenticar para AD foi emitido porAD-ROOT-CA
do domínioad.example.com
. -
O assunto é
<S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user
:
-
O certificado que
$ ldapsearch -o ldif-wrap=no -LLL -h adserver.ad.example.com \ -p 389 -D cn=Administrator,cn=users,dc=ad,dc=example,dc=com \ -W -b cn=users,dc=ad,dc=example,dc=com "(cn=ad_user)" \ altSecurityIdentities Enter LDAP Password: dn: CN=ad_user,CN=Users,DC=ad,DC=example,DC=com altSecurityIdentities: X509:<I>DC=com,DC=example,DC=ad,CN=AD-ROOT-CA<S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user
-
O atributo