43.4. Configuração do mapeamento de certificados se o AD estiver configurado para mapear certificados de usuários para contas de usuários
Esta história de usuário descreve os passos necessários para habilitar o mapeamento de certificados no IdM se a implantação do IdM estiver em confiança com o Active Directory (AD), o usuário é armazenado no AD e a entrada do usuário no AD contém dados de mapeamento de certificados.
Pré-requisitos
- O usuário não tem uma conta na IdM.
-
O usuário tem uma conta no AD que contém o atributo
altSecurityIdentities
, o equivalente do AD do atributo IdMcertmapdata
. - O administrador do IdM tem acesso aos dados nos quais a regra de mapeamento de certificados IdM pode ser baseada.
43.4.1. Adicionar uma regra de mapeamento de certificados se o domínio AD confiável estiver configurado para mapear certificados de usuários
43.4.1.1. Adicionando uma regra de mapeamento de certificados na IDM web UI
- Entre na IDM web UI como administrador.
-
Navegue para
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
. Clique em
Add
.Figura 43.7. Adicionando uma nova regra de mapeamento de certificados na interface web do IdM
- Digite o nome da regra.
Insira a regra de mapeamento. Por exemplo, para fazer a pesquisa AD DC para as entradas
Issuer
eSubject
em qualquer certificado apresentado, e basear sua decisão de autenticar ou não nas informações encontradas nestas duas entradas do certificado apresentado:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
Insira a regra de correspondência. Por exemplo, permitir somente certificados emitidos pelo
AD-ROOT-CA
do domínioAD.EXAMPLE.COM
para autenticar usuários ao IdM:<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Entre no domínio:
ad.example.com
Figura 43.8. Regra de mapeamento de certificados se o AD estiver configurado para mapeamento
-
Clique em
Add
. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD no CLI::
# systemctl restart sssd
43.4.1.2. Adição de uma regra de mapeamento de certificados no IdM CLI
Obter as credenciais do administrador:
# kinit admin
Insira a regra de mapeamento e a regra de correspondência na qual a regra de mapeamento se baseia. Por exemplo, para fazer a pesquisa AD para as entradas
Issuer
eSubject
em qualquer certificado apresentado, e permitir somente os certificados emitidos peloAD-ROOT-CA
do domínioAD.EXAMPLE.COM
:# ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule" ------------------------------------------------------- Rule name: ad_configured_for_mapping_rule Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUE
O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD:
# systemctl restart sssd