10.2. IdM 中身份映射规则的组件
您可以在 IdM 中创建 身份映射规则 时配置不同的组件。每个组件都有一个可覆盖的默认值。您可以在 Web UI 或 CLI 中定义这些组件。在 CLI 中,身份映射规则是使用 ipa certmaprule-add 命令创建的。
- 映射规则
映射规则组件将(或 映射)证书与一个或多个用户帐户相关联。规则定义了一个 LDAP 搜索过滤器,用于将证书与预期用户帐户相关联。
由不同证书颁发机构(CA)发布的证书可能具有不同的属性,可能在不同的域中使用。因此,IdM 不会以无条件的方式应用映射规则,而是只应用于适当的证书。适当的证书是使用 匹配规则 定义的。
请注意,如果您将映射规则选项留空,则会在
userCertificate属性中搜索证书作为编码的二进制文件。在 CLI 中使用
--maprule选项定义映射规则。- 匹配规则
匹配的规则组件选择您要应用映射规则的证书。默认匹配规则与带有
digitalSignature key使用和clientAuth extended key使用的证书匹配。使用
--matchrule选项在 CLI 中定义匹配的规则。- 域列表
域列表指定您希望 IdM 在处理身份映射规则时搜索用户的身份域。如果您未指定选项,IdM 将仅在 IdM 客户端所属的本地域中搜索用户。
使用
--domain选项在 CLI 中定义域。- 优先级
当多个规则适用于证书时,具有最高优先级的规则将具有优先权。所有其他规则将被忽略。
- 数字值越低,身份映射规则的优先级越高。例如,具有优先级 1 的规则的优先级高于优先级 2 的规则。
- 如果规则没有定义优先级值,它具有最低的优先级。
使用
--priority选项在 CLI 中定义映射规则优先级。
证书映射规则示例
要使用 CLI 定义名为 simple_rule 证书映射规则,如果该证书上的 Subject 与 IdM 中用户帐户中的 certmapdata 条目匹配,则允许对 EXAMPLE.ORG 机构的 智能卡 CA 发布的证书进行身份验证:
# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'