第 13 章如果将 AD 配置为将用户帐户映射到用户帐户，则配置证书映射

这个用户故事描述了如果 IdM 部署与活动目录(AD)有信任关系时在 IdM 中启用证书映射所需的步骤，用户存储在 AD 中，AD 中的用户条目包含证书映射数据。

先决条件

13.1. 如果 AD 被配置为将用户证书映射到用户帐户，请在 IdM Web UI 中添加证书映射规则
复制链接

以管理员身份登录 IdM Web UI。
导航到 Authentication Certificate Identity Mapping Rules Certificate Identity Mapping Rules。
单击 Add。
图 13.1. 在 IdM Web UI 中添加一个新的证书映射规则

View larger image
输入规则名称。
输入映射规则。例如，要使 AD DC 搜索所呈现的任何证书中的 Issuer 和 Subject 条目，并决定根据所出示证书的两个条目中提供的信息进行验证：
```
(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
```
```
(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
```
Copy to Clipboard Toggle word wrap
输入匹配的规则。例如，要只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 发布的证书来向 IdM 验证用户：
```
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
```
```
<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
```
Copy to Clipboard Toggle word wrap
输入域：
```
ad.example.com
```
```
ad.example.com
```
Copy to Clipboard Toggle word wrap
图 13.2. 如果配置了 AD 进行映射，则证书映射规则

View larger image
单击 Add。
系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即加载新创建的规则，请在 CLI 中重启 SSSD：
```
systemctl restart sssd
```
```
# systemctl restart sssd
```
Copy to Clipboard Toggle word wrap

返回顶部