Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 14 章 如果 AD 用户条目不包含证书或映射数据,则配置证书映射

如果 IdM 部署与 Active Directory(AD)信任时,此用户故事描述了在 IdM 中启用证书映射所需的步骤,此用户存储在 AD 中,AD 中的用户条目既包含整个证书,也不包含证书映射数据。

先决条件

  • 用户在 IdM 中没有帐户。
  • 用户在 AD 中有一个帐户,它不包含整个证书和 altSecurityIdentities 属性,即 IdM certmapdata 属性的 AD 等效。

  • IdM 管理员已完成了以下操作之一:

    • 将整个 AD 用户证书添加到 IdM 中的 AD 用户 ID 覆盖 中。
    • 创建一个映射到证书中备用字段的证书映射规则,如 Subject Alternative Name 或用户的 SID。
  1. 以管理员身份登录 IdM Web UI。
  2. 导航到 Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules

  3. 单击 Add

    图 14.1. 在 IdM Web UI 中添加一个新的证书映射规则

    IdM Web UI 的截图,显示身份验证选项卡中的
    View larger image
    IdM Web UI 的截图,显示身份验证选项卡中的
  4. 输入规则名称。

  5. 输入映射规则。与存储在 IdM 中的 AD 用户条目的用户 ID 覆盖条目中的证书相比,为 IdM 提供整个证书进行身份验证: 

    (userCertificate;binary={cert!bin})
    Copy to Clipboard Toggle word wrap
    注意

    因为证书还包含作为 SAN 的用户主体名称或最新更新、证书 SID 扩展中的用户的 SID ,所以您也可以使用这些字段将证书映射到用户。例如,如果使用用户的 SID,请将此映射规则替换为 LDAPU1:(objectsid={sid})。有关证书映射的更多信息,请参阅您系统上的 sss-certmap 手册页。

  6. 输入匹配的规则。例如,只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 发布的证书进行身份验证: 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
    Copy to Clipboard Toggle word wrap

  7. 输入域名。例如,要在 ad.example.com 域中搜索用户:

    图 14.2. 没有证书或映射数据的用户的证书映射规则

    View larger image
  8. 单击 Add

  9. 系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即载入新创建的规则,在 CLI 中重启 SSSD: 

    # systemctl restart sssd
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat