主页
产品
Red Hat Enterprise Linux
10
管理 IdM 中的证书
14.3. 如果 AD 用户条目不包含证书或映射数据，请在 IdM CLI 中添加证书映射规则

14.3. 如果 AD 用户条目不包含证书或映射数据，请在 IdM CLI 中添加证书映射规则

获取管理员凭证：
```
kinit admin
```
```
# kinit admin
```
Copy to Clipboard Toggle word wrap

输入映射规则以及映射规则所基于的匹配规则。要获得与存储在 IdM 中的 AD 用户条目的用户 ID 覆盖条目中的证书相比的用于认证的整个证书，只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 发布的证书进行验证：

ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com

# ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "simpleADrule"
-------------------------------------------------------
  Rule name: simpleADrule
  Mapping rule: (userCertificate;binary={cert!bin})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE

Copy to Clipboard

Toggle word wrap

注意

因为证书还包含作为 SAN 的用户主体名称或最新更新、证书 SID 扩展中的用户的 SID ，所以您也可以使用这些字段将证书映射到用户。例如，如果使用用户的 SID，请将此映射规则替换为 LDAPU1:(objectsid={sid})。有关证书映射的更多信息，请参阅您系统上的 sss-certmap 手册页。

系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即载入新创建的规则，重启 SSSD：
```
systemctl restart sssd
```
```
# systemctl restart sssd
```
Copy to Clipboard Toggle word wrap

返回顶部

14.3. 如果 AD 用户条目不包含证书或映射数据，请在 IdM CLI 中添加证书映射规则

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links