第 10 章 在身份管理中配置证书映射规则
证书映射规则是允许用户在 Identity Management(IdM)管理员无法访问某些用户证书时使用证书进行身份验证的方法。这通常是因为证书已由外部证书颁发机构发布。
10.1. 用于配置身份验证的证书映射规则
在以下情况下可能需要配置证书映射规则:
- 证书已由活动目录(AD)的证书系统发布,且活动目录与 IdM 域有信任关系。
- 证书已由外部证书颁发机构发布。
- IdM 环境较大,有很多用户使用智能卡的用户。在这种情况下,添加完整证书可能会比较复杂。在大多数情况下,主题和签发者是可预测的,因此与完整证书相比,更容易提前添加。
作为系统管理员,您可以创建证书映射规则,并在向特定用户签发证书前向用户条目添加证书映射数据。签发证书后,用户就可以使用证书登录,即使证书还没有上传到用户条目。
另外,因为证书会定期续订,证书映射规则减少了管理开销。续订用户证书时,管理员不必更新用户条目。例如,如果映射基于 Subject 和 Issuer 的值,如果新的证书具有与旧证书相同的主题和签发者,则映射仍适用。如果使用完整证书,则管理员必须将新证书上传到用户条目以替换旧证书。
设置证书映射:
- 管理员必须将证书映射数据或完整证书加载到用户帐户中。
- 管理员必须创建证书映射规则,以允许为其帐户包含与证书信息匹配的证书映射数据条目的用户成功登录到 IdM。
创建证书映射规则后,当最终用户提供保存在 文件系统 或 智能卡 中的证书时,身份验证是成功的。
注意
密钥分发中心(KDC)有一个用于证书映射规则的缓存。缓存在第一个 certauth 请求进行填充,它有一个硬编码的 300 秒超时。KDC 不会看到对证书映射规则的任何更改,除非它重启了或缓存到期了。
有关构成映射规则的单独组件,以及如何获取和使用它们的详细信息,请参阅 IdM 中的身份映射规则组件,以及获取证书中的签发者,以便在匹配规则中使用。
注意
您的证书映射规则可取决于您使用证书的用例。例如,如果您使用带有证书的 SSH,则必须有完整的证书来从证书中提取公钥。
