Red Hat Training
A Red Hat training course is available for RHEL 8
43.6. Combinar varias reglas de asignación de identidades en una sola
Para combinar varias reglas de asignación de identidades en una regla combinada, utilice el carácter |
(o) para preceder las reglas de asignación individuales, y sepárelas utilizando, por ejemplo, ()
paréntesis:
Ejemplo de filtro de asignación de certificados 1
$ ipa certmaprule-add ad_cert_for_ipa_and_ad_users \ --maprule='(|(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' \ --domain=ad.example.com
En el ejemplo anterior, la definición del filtro en la opción --maprule
incluye estos criterios:
-
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
es un filtro que vincula el asunto y el emisor de un certificado de tarjeta inteligente con el valor del atributoipacertmapdata
en una cuenta de usuario de IdM, como se describe en Añadir una regla de asignación de certificados en IdM -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
es un filtro que vincula el asunto y el emisor de un certificado de tarjeta inteligente con el valor del atributoaltSecurityIdentities
de una cuenta de usuario de AD, como se describe en Añadir una regla de asignación de certificados si el dominio de AD de confianza está configurado para asignar certificados deusuario -
La adición de la opción
--domain=ad.example.com
significa que los usuarios asignados a un determinado certificado no sólo se buscan en el dominio localidm.example.com
sino también en el dominioad.example.com
La definición del filtro en la opción --maprule
acepta el operador lógico |
(o), de modo que se pueden especificar múltiples criterios. En este caso, la regla asigna todas las cuentas de usuario que cumplen al menos uno de los criterios.
Ejemplo de filtro de asignación de certificados 2
$ ipa certmaprule-add ipa_cert_for_ad_users \ --maprule='(|(userCertificate;binary={cert!bin})(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}))' \ --matchrule='<ISSUER>CN=Certificate Authority,O=REALM.EXAMPLE.COM' \ --domain=idm.example.com --domain=ad.example.com
En el ejemplo anterior, la definición del filtro en la opción --maprule
incluye estos criterios:
-
userCertificate;binary={cert!bin}
es un filtro que devuelve las entradas de usuario que incluyen el certificado completo. En el caso de los usuarios de AD, la creación de este tipo de filtro se describe detalladamente en Añadir una regla de asignación de certificados si la entrada de usuario de AD no contiene ningún certificado ni datos de asignación. -
ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}
es un filtro que vincula el asunto y el emisor de un certificado de tarjeta inteligente con el valor del atributoipacertmapdata
en una cuenta de usuario de IdM, como se describe en Añadir una regla de asignación de certificados en IdM. -
altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}
es un filtro que vincula el asunto y el emisor de un certificado de tarjeta inteligente con el valor del atributoaltSecurityIdentities
de una cuenta de usuario de AD, como se describe en Añadir una regla de asignación de certificados si el dominio de AD de confianza está configurado para asignar certificados de usuario.
La definición del filtro en la opción --maprule
acepta el operador lógico |
(o), de modo que se pueden especificar múltiples criterios. En este caso, la regla asigna todas las cuentas de usuario que cumplen al menos uno de los criterios.