14.3. 如果 AD 用户条目不包含证书或映射数据，请在 IdM CLI 中添加证书映射规则

管理员通过使用 IdM CLI 将证书链接到 AD 用户来定义映射规则。ipa certmaprule-add 命令创建与证书二进制数据或特定属性与 Default Trust View 中存储的 ID 覆盖条目匹配的策略。

流程

获得管理员凭证：
```
# kinit admin
```
输入映射规则以及映射规则所基于的匹配规则。要获得与存储在 IdM 中的 AD 用户条目的用户 ID 覆盖条目中的证书相比的用于认证的整个证书，只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 发布的证书进行验证：
```
# ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
```
```
-------------------------------------------------------
Added Certificate Identity Mapping Rule "simpleADrule"
-------------------------------------------------------
  Rule name: simpleADrule
  Mapping rule: (userCertificate;binary={cert!bin})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE
```
注意
因为证书还包含作为 SAN 的用户主体名称或最新更新、证书 SID 扩展中的用户的 SID ，所以您也可以使用这些字段将证书映射到用户。例如，如果使用用户的 SID，请将此映射规则替换为 LDAPU1:(objectsid={sid})。有关证书映射的更多信息，请参阅您系统上的 sss-certmap 手册页。
系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即载入新创建的规则，重启 SSSD：
```
# systemctl restart sssd
```