主页
产品
Red Hat Enterprise Linux
10
管理智能卡验证
6.5. 使用智能卡时创建证书映射规则

6.5. 使用智能卡时创建证书映射规则

您需要创建证书映射规则，以便使用存储在智能卡上的证书进行登录。

先决条件

该智能卡包含您的证书和私钥。
该卡插入读卡器并连接到计算机。
pcscd 服务正在您的本地计算机上运行。

流程

创建一个证书映射配置文件，如 /etc/sssd/conf.d/sssd_certmap.conf。
将证书映射规则添加到 sssd_certmap.conf 文件中：
```
[certmap/shadowutils/otheruser]
matchrule = <SUBJECT>.*CN=certificate_user.*<ISSUER>^CN=Example Test CA,OU=Example Test,O=EXAMPLE$
```
```
[certmap/shadowutils/otheruser]
matchrule = <SUBJECT>.*CN=certificate_user.*<ISSUER>^CN=Example Test CA,OU=Example Test,O=EXAMPLE$
```
Copy to Clipboard Toggle word wrap
请注意，您必须在单独的部分中定义每个证书映射规则。定义每个部分，如下所示：
```
[certmap/<DOMAIN_NAME>/<RULE_NAME>]
```
```
[certmap/<DOMAIN_NAME>/<RULE_NAME>]
```
Copy to Clipboard Toggle word wrap
如果 SSSD 被配置为使用代理提供者来允许对本地用户而不是 AD、IPA 或 LDAP 进行智能卡验证，则 <RULE_NAME> 可以简单地是具有与 matchrule 中提供的数据匹配的卡的用户名。

验证

请注意，要验证使用智能卡的 SSH 访问，必须配置 SSH 访问。如需更多信息，请参阅使用智能卡身份验证配置 SSH 访问。

您可以使用以下命令验证 SSH 访问：
```
ssh -I /usr/lib64/opensc-pkcs11.so -l otheruser localhost hostname
```
```
# ssh -I /usr/lib64/opensc-pkcs11.so -l otheruser localhost hostname
```
Copy to Clipboard Toggle word wrap
如果配置成功，会提示您输入智能卡 PIN。

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat