43.6. Combinando várias regras de mapeamento de identidade em uma
Para combinar várias regras de mapeamento de identidade em uma regra combinada, use o caracter |
(ou) para preceder as regras de mapeamento individuais, e separe as regras usando parênteses ()
, por exemplo:
Exemplo de filtro de mapeamento de certificados 1
$ ipa certmaprule-add ad_cert_for_ipa_and_ad_users \ --maprule='(|(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' \ --domain=ad.example.com
No exemplo acima, a definição do filtro na opção --maprule
inclui estes critérios:
-
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
é um filtro que liga o assunto e o emissor de um certificado de cartão inteligente ao valor do atributoipacertmapdata
em uma conta de usuário do IdM, como descrito em Adicionando uma regra de mapeamento de certificados no IdM -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
é um filtro que liga o assunto e o emissor de um certificado de cartão inteligente ao valor do atributoaltSecurityIdentities
em uma conta de usuário AD, como descrito em Adicionar uma regra de mapeamento de certificados se o domínio AD confiável estiver configurado para mapear certificados de usuário -
A adição da opção
--domain=ad.example.com
significa que os usuários mapeados para um determinado certificado não são pesquisados apenas no domínio localidm.example.com
, mas também no domínioad.example.com
A definição do filtro na opção --maprule
aceita o operador lógico |
(ou), para que você possa especificar múltiplos critérios. Neste caso, a regra mapeia todas as contas de usuário que atendam pelo menos um dos critérios.
Exemplo de filtro de mapeamento de certificados 2
$ ipa certmaprule-add ipa_cert_for_ad_users \ --maprule='(|(userCertificate;binary={cert!bin})(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=Certificate Authority,O=REALM.EXAMPLE.COM' \ --domain=idm.example.com --domain=ad.example.com
No exemplo acima, a definição do filtro na opção --maprule
inclui estes critérios:
-
userCertificate;binary={cert!bin}
é um filtro que retorna entradas de usuário que incluem o certificado completo. Para usuários AD, a criação deste tipo de filtro é descrita em detalhes em Adicionando uma regra de mapeamento de certificado se a entrada do usuário AD não contém certificado ou dados de mapeamento. -
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
é um filtro que liga o assunto e o emissor de um certificado de cartão inteligente ao valor do atributoipacertmapdata
em uma conta de usuário do IdM, como descrito em Adicionando uma regra de mapeamento de certificados no IdM. -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
é um filtro que liga o assunto e o emissor de um certificado de cartão inteligente ao valor do atributoaltSecurityIdentities
em uma conta de usuário AD, conforme descrito em Adicionar uma regra de mapeamento de certificados se o domínio AD confiável estiver configurado para mapear certificados de usuário.
A definição do filtro na opção --maprule
aceita o operador lógico |
(ou), para que você possa especificar múltiplos critérios. Neste caso, a regra mapeia todas as contas de usuário que atendam pelo menos um dos critérios.