Red Hat Training
A Red Hat training course is available for RHEL 8
43.4. Configuración de la asignación de certificados si AD está configurado para asignar certificados de usuario a cuentas de usuario
Esta historia de usuario describe los pasos necesarios para habilitar la asignación de certificados en IdM si la implementación de IdM está en confianza con Active Directory (AD), el usuario está almacenado en AD y la entrada de usuario en AD contiene datos de asignación de certificados.
Requisitos previos
- El usuario no tiene una cuenta en IdM.
-
El usuario tiene una cuenta en AD que contiene el atributo
altSecurityIdentities
, el equivalente en AD del atributo IdMcertmapdata
. - El administrador de IdM tiene acceso a los datos en los que se puede basar la regla de asignación de certificados de IdM.
43.4.1. Añadir una regla de asignación de certificados si el dominio AD de confianza está configurado para asignar certificados de usuario
43.4.1.1. Añadir una regla de asignación de certificados en la interfaz web de IdM
- Inicie sesión en la interfaz web de IdM como administrador.
-
Navegue hasta
Authentication
→Certificate Identity Mapping Rules
→Certificate Identity Mapping Rules
. Haga clic en
Add
.Figura 43.7. Añadir una nueva regla de asignación de certificados en la interfaz web de IdM
- Introduzca el nombre de la regla.
Introduzca la regla de asignación. Por ejemplo, para hacer que AD DC busque las entradas
Issuer
ySubject
en cualquier certificado presentado, y base su decisión de autenticar o no en la información encontrada en estas dos entradas del certificado presentado:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
Introduzca la regla de coincidencia. Por ejemplo, para permitir sólo los certificados emitidos por el
AD-ROOT-CA
del dominioAD.EXAMPLE.COM
para autenticar a los usuarios en el IdM:<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
Introduzca el dominio:
ad.example.com
Figura 43.8. Regla de asignación de certificados si AD está configurado para la asignación
-
Haga clic en
Add
. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar la carga inmediata de la regla recién creada, reinicie SSSD en la CLI::
# systemctl restart sssd
43.4.1.2. Adición de una regla de asignación de certificados en la CLI de IdM
Obtenga las credenciales del administrador:
# kinit admin
Introduzca la regla de asignación y la regla de coincidencia en la que se basa la regla de asignación. Por ejemplo, para hacer que AD busque las entradas
Issuer
ySubject
en cualquier certificado presentado, y sólo permita certificados emitidos por elAD-ROOT-CA
del dominioAD.EXAMPLE.COM
:# ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com ------------------------------------------------------- Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule" ------------------------------------------------------- Rule name: ad_configured_for_mapping_rule Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500}) Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com Domain name: ad.example.com Enabled: TRUE
El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar que la regla recién creada se cargue inmediatamente, reinicie SSSD:
# systemctl restart sssd