68.6. 为 AD 用户条目包含整个证书的用户配置证书映射
此用户故事描述了如果 IdM 部署与 Active Directory(AD)信任时,在 IdM 中启用证书映射所需的步骤,该用户存储在 AD 中,AD 中的用户条目包含整个证书。
先决条件
- 用户在 IdM 中没有帐户。
- 用户在 AD 中有一个包含证书的帐户。
- IdM 管理员有权访问 IdM 证书映射规则可以基于的数据。
为确保 PKINIT 适用于用户,必须应用以下条件之一:
- 用户条目中的证书包括用户的用户主体名称或用户的 SID 扩展。
-
AD 中的用户条目在
altSecurityIdentities
属性中有一个合适的条目。
68.6.1. 在 IdM Web UI 中添加证书映射规则
- 以管理员身份登录 IdM Web UI。
-
导航到
Authentication
Certificate Identity Mapping Rules
Certificate Identity Mapping Rules
。 点
Add
。图 68.5. 在 IdM Web UI 中添加一个新的证书映射规则
- 输入规则名称。
输入映射规则。与 AD 中的可用内容相比,要向 IdM 提供整个证书以进行身份验证:
(userCertificate;binary={cert!bin})
注意如果使用完整证书进行映射,如果续订证书,您必须确保将新证书添加到 AD 用户对象中。
输入匹配的规则。例如,要只允许
AD.EXAMPLE.COM
域的AD-ROOT-CA
发布的证书进行身份验证:<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
图 68.6. 在 AD 中存储证书的用户的证书映射规则
-
点
Add
。 系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即加载新创建的规则,请在 CLI 中重启 SSSD:
# systemctl restart sssd
68.6.2. 在 IdM CLI 中添加证书映射规则
获取管理员凭证:
# kinit admin
输入映射规则以及映射规则所基于的匹配规则。与 AD 中可用的证书相比,要获得进行身份验证的完整证书,只允许
AD.EXAMPLE.COM
域的AD-ROOT-CA
发布的证书来进行验证:# ipa certmaprule-add
simpleADrule
--matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "simpleADrule" ------------------------------------------------------- Rule name: simpleADrule Mapping rule: (userCertificate;binary={cert!bin}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUE注意如果使用完整证书进行映射,如果续订证书,您必须确保将新证书添加到 AD 用户对象中。
系统安全服务守护进程(SSSD)定期重新读取证书映射规则。要强制立即载入新创建的规则,重启 SSSD:
# systemctl restart sssd