14.2. 如果 AD 用户条目不包含证书或映射数据,请在 IdM Web UI 中添加证书映射规则
- 以管理员身份登录 IdM Web UI。
-
导航到
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
。 单击
Add
。图 14.1. 在 IdM Web UI 中添加一个新的证书映射规则
- 输入规则名称。
输入映射规则。与存储在 IdM 中的 AD 用户条目的用户 ID 覆盖条目中的证书相比,为 IdM 提供整个证书进行身份验证:
(userCertificate;binary={cert!bin})
(userCertificate;binary={cert!bin})
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意因为证书还包含作为 SAN 的用户主体名称或最新更新、证书 SID 扩展中的用户的 SID ,所以您也可以使用这些字段将证书映射到用户。例如,如果使用用户的 SID,请将此映射规则替换为
LDAPU1:(objectsid={sid})
。有关证书映射的更多信息,请参阅您系统上的sss-certmap
手册页。输入匹配的规则。例如,只允许
AD.EXAMPLE.COM
域的AD-ROOT-CA
发布的证书进行身份验证:<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输入域名。例如,要在
ad.example.com
域中搜索用户:图 14.2. 没有证书或映射数据的用户的证书映射规则
-
单击
Add
。 系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即载入新创建的规则,在 CLI 中重启 SSSD:
systemctl restart sssd
# systemctl restart sssd
Copy to Clipboard Copied! Toggle word wrap Toggle overflow