9.2. IdM 中身份映射规则的组件
当在 IdM 中创建 身份映射规则 时,您可以配置不同的组件。每个组件都有一个可覆盖的默认值。您可以在 Web UI 或 CLI 中定义这些组件。在 CLI 中,身份映射规则使用 ipa certmaprule-add 命令创建。
- 映射规则
映射规则组件将证书与一个或多个用户帐户关联(或 映射)。规则定义将证书与预期用户帐户关联的 LDAP 搜索过滤器。
不同证书颁发机构(CA)发布的证书可能具有不同的属性,并可在不同的域中使用。因此,IdM 不适用于无条件地应用映射规则,而只适用于适当的证书。使用 匹配规则 定义适当的证书。
请注意,如果您将映射规则选项留空,则证书将在
userCertificate属性中作为 DER 编码的二进制文件进行搜索。利用
--maprule选项,在 CLI 中定义映射规则。- 匹配规则
匹配的规则组件选择您要应用映射规则的证书。默认匹配规则与具有
digitalSignature 密钥用法和clientAuth 扩展密钥用法的证书匹配。使用
--matchrule选项,在 CLI 中定义匹配的规则。- 域列表
域列表指定您希望 IdM 在处理身份映射规则时搜索用户的身份域。如果您未指定 选项,IdM 仅在 IdM 客户端所属的本地域中搜索用户。
利用
--domain选项,在 CLI 中定义域。- 优先级
当多个规则适用于证书时,优先级最高的规则优先。所有其他规则将被忽略。
- 数字值越低,身份映射规则的优先级越高。例如,具有优先级 1 的规则的优先级高于优先级 2 的规则。
- 如果规则没有定义优先级值,它具有最低的优先级。
使用
--priority选项,在 CLI 中定义映射规则优先级。
证书映射规则示例
要使用 CLI 定义称为 simple_rule 的证书映射规则,如果该证书上的 Subject 与 IdM 中用户帐户中的 certmapdata 条目匹配,则允许对 EXAMPLE.ORG 机构的 智能卡 CA 发布的证书进行身份验证:
# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'