Red Hat Training

A Red Hat training course is available for RHEL 8

43.4. Configuración de la asignación de certificados si AD está configurado para asignar certificados de usuario a cuentas de usuario

Esta historia de usuario describe los pasos necesarios para habilitar la asignación de certificados en IdM si la implementación de IdM está en confianza con Active Directory (AD), el usuario está almacenado en AD y la entrada de usuario en AD contiene datos de asignación de certificados.

Requisitos previos

  • El usuario no tiene una cuenta en IdM.
  • El usuario tiene una cuenta en AD que contiene el atributo altSecurityIdentities, el equivalente en AD del atributo IdM certmapdata.
  • El administrador de IdM tiene acceso a los datos en los que se puede basar la regla de asignación de certificados de IdM.

43.4.1. Añadir una regla de asignación de certificados si el dominio AD de confianza está configurado para asignar certificados de usuario

43.4.1.1. Añadir una regla de asignación de certificados en la interfaz web de IdM

  1. Inicie sesión en la interfaz web de IdM como administrador.
  2. Navegue hasta AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules.

  3. Haga clic en Add.

    Figura 43.7. Añadir una nueva regla de asignación de certificados en la interfaz web de IdM

    new certmaprule add
  4. Introduzca el nombre de la regla.

  5. Introduzca la regla de asignación. Por ejemplo, para hacer que AD DC busque las entradas Issuer y Subject en cualquier certificado presentado, y base su decisión de autenticar o no en la información encontrada en estas dos entradas del certificado presentado: 

    (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})

  6. Introduzca la regla de coincidencia. Por ejemplo, para permitir sólo los certificados emitidos por el AD-ROOT-CA del dominio AD.EXAMPLE.COM para autenticar a los usuarios en el IdM: 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

  7. Introduzca el dominio: 

    ad.example.com

    Figura 43.8. Regla de asignación de certificados si AD está configurado para la asignación

    certmaprule add details ad map
  8. Haga clic en Add.

  9. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar la carga inmediata de la regla recién creada, reinicie SSSD en la CLI:: 

    # systemctl restart sssd

43.4.1.2. Adición de una regla de asignación de certificados en la CLI de IdM

  1. Obtenga las credenciales del administrador: 

    # kinit admin

  2. Introduzca la regla de asignación y la regla de coincidencia en la que se basa la regla de asignación. Por ejemplo, para hacer que AD busque las entradas Issuer y Subject en cualquier certificado presentado, y sólo permita certificados emitidos por el AD-ROOT-CA del dominio AD.EXAMPLE.COM: 

    # ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule"
-------------------------------------------------------
  Rule name: ad_configured_for_mapping_rule
  Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE

  3. El demonio de servicios de seguridad del sistema (SSSD) relee periódicamente las reglas de asignación de certificados. Para forzar que la regla recién creada se cargue inmediatamente, reinicie SSSD: 

    # systemctl restart sssd