Pesquisar

43.3. Configuração do mapeamento de certificados para usuários cuja entrada de usuário AD contém o certificado completo

download PDF

Esta história de usuário descreve os passos necessários para habilitar o mapeamento de certificados no IdM se a implantação do IdM estiver em confiança com o Active Directory (AD), o usuário é armazenado no AD e a entrada do usuário no AD contém o certificado completo.

Pré-requisitos

  • O usuário não tem uma conta na IdM.
  • O usuário tem uma conta no AD que contém um certificado.
  • O administrador do IdM tem acesso aos dados nos quais a regra de mapeamento de certificados IdM pode ser baseada.

43.3.1. Adicionando uma regra de mapeamento de certificados para usuários cuja entrada AD contém certificados inteiros

43.3.1.1. Adicionando uma regra de mapeamento de certificados na IDM web UI

  1. Entre na IDM web UI como administrador.
  2. Navegue para Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules.
  3. Clique em Add.

    Figura 43.5. Adicionando uma nova regra de mapeamento de certificados na interface web do IdM

    new certmaprule add
  4. Digite o nome da regra.
  5. Insira a regra de mapeamento. Ter todo o certificado que é apresentado à IdM para autenticação, em comparação com o que está disponível no AD:

    (userCertificate;binary={cert!bin})
  6. Insira a regra de correspondência. Por exemplo, para permitir somente a autenticação de certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

    Figura 43.6. Regra de mapeamento de certificados para um usuário com um certificado armazenado no AD

    certmaprule add details ad cert
  7. Clique em Add.
  8. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD no CLI::

    # systemctl restart sssd

43.3.1.2. Adição de uma regra de mapeamento de certificados no IdM CLI

  1. Obter as credenciais do administrador:

    # kinit admin
  2. Insira a regra de mapeamento e a regra de correspondência na qual a regra de mapeamento se baseia. Ter todo o certificado que é apresentado para autenticação em comparação com o que está disponível no AD, permitindo apenas que os certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM se autentiquem:

    # ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
    -------------------------------------------------------
    Added Certificate Identity Mapping Rule "simpleADrule"
    -------------------------------------------------------
      Rule name: simpleADrule
      Mapping rule: (userCertificate;binary={cert!bin})
      Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
      Domain name: ad.example.com
      Enabled: TRUE
  3. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD:

    # systemctl restart sssd

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.