第 12 章为 AD 用户条目包含整个证书的用户配置证书映射

此用户故事描述了如果 IdM 部署与 Active Directory(AD)信任时，在 IdM 中启用证书映射所需的步骤，该用户存储在 AD 中，AD 中的用户条目包含整个证书。

先决条件

注意

为确保 PKINIT 对用户正常工作，必须满足以下条件之一：

12.1. 在 IdM Web UI 中为 AD 条目包含整个证书的用户添加证书映射规则
复制链接

以管理员身份登录 IdM Web UI。
导航到 Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules。
单击 Add。
图 12.1. 在 IdM Web UI 中添加一个新的证书映射规则

View larger image
输入规则名称。
输入映射规则。与 AD 中的可用内容相比，要向 IdM 提供整个证书以进行身份验证：
```
(userCertificate;binary={cert!bin})
```
```
(userCertificate;binary={cert!bin})
```
Copy to Clipboard Toggle word wrap
注意
如果使用完整证书进行映射，如果续订了证书，您必须确保将新证书添加到 AD 用户对象中。
输入匹配的规则。例如，只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 发布的证书进行身份验证：
```
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
```
```
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
```
Copy to Clipboard Toggle word wrap
图 12.2. 在 AD 中存储证书的用户的证书映射规则

View larger image
单击 Add。
系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即加载新创建的规则，请在 CLI 中重启 SSSD：
```
systemctl restart sssd
```
```
# systemctl restart sssd
```
Copy to Clipboard Toggle word wrap

返回顶部