第 10 章身份管理中的证书映射规则

证书映射规则是一种便捷的方式，当 RHEL 身份管理(IdM)管理员无法访问某些用户的证书时，用户可以使用证书进行身份验证。这通常是因为证书已由外部证书颁发机构发布。

10.1. 用于配置身份验证的证书映射规则
复制链接

在以下情况下可能需要配置证书映射规则：

证书已由与 IdM 域处于信任关系的活动目录(AD)的证书系统发布。
证书已由外部证书颁发机构发布。
IdM 环境较大，很多用户使用智能卡的用户。在这种情况下，添加完整证书可能会比较复杂。在大多数情况下，主题和签发者是可预测的，因此与完整证书相比，更容易提前添加。

作为系统管理员，您可以创建证书映射规则，并在向特定用户签发证书之前，为用户条目添加证书映射数据。签发证书后，用户可以使用该证书登录，即使完整证书尚未上传到用户条目。

另外，因为证书会定期续订，所以证书映射规则减少了管理开销。续订用户证书时，管理员不必更新用户条目。例如，如果映射基于 Subject 和 Issuer 值，如果新证书的主题和签发者与旧证书相同，则映射仍适用。如果使用完整证书，则管理员必须将新证书上传到用户条目以替换旧证书。

设置证书映射：

注意

密钥分发中心(KDC)有一个用于证书映射规则的缓存。缓存在第一个 certauth 请求时填充，它有一个 300 秒的硬编码超时。KDC 不会看到对证书映射规则的任何更改，除非它重启了或缓存过期了。

注意

您的证书映射规则可取决于您使用证书的用例。例如，如果您使用带有证书的 SSH，则必须有从证书中提取公钥的完整证书。

返回顶部