9.2. Configuration du mappage des certificats pour les utilisateurs stockés dans IdM

Cette histoire d'utilisateur décrit les étapes qu'un administrateur système doit suivre pour activer le mappage de certificats dans IdM si l'utilisateur pour lequel l'authentification par certificat est configurée est stocké dans IdM. Cette section décrit les points suivants :

  • Comment configurer une règle de mappage de certificats pour que les utilisateurs de l'IdM dont les certificats correspondent aux conditions spécifiées dans la règle de mappage et dans leurs entrées de données de mappage de certificats puissent s'authentifier auprès de l'IdM.
  • Comment ajouter des données de mappage de certificats à une entrée utilisateur IdM afin que l'utilisateur puisse s'authentifier à l'aide de plusieurs certificats, à condition qu'ils contiennent tous les valeurs spécifiées dans l'entrée de données de mappage de certificats.

Conditions préalables

  • L'utilisateur dispose d'un compte dans l'IdM.
  • L'administrateur dispose soit du certificat complet, soit des données de mappage du certificat à ajouter à l'entrée de l'utilisateur.

9.2.1. Ajout d'une règle de mappage de certificats dans l'interface web IdM

  1. Connectez-vous à l'interface web IdM en tant qu'administrateur.
  2. Naviguez vers AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules.

  3. Cliquez sur Add.

    Figure 9.1. Ajout d'une nouvelle règle de mappage de certificats dans l'interface web IdM

    Screenshot of the IdM Web UI displaying the "Certificate Identity Mapping Rules" sub-tab from the Authentication tab. The "Add" button at the right of the page is highlighted.
  4. Saisissez le nom de la règle.

  5. Saisir la règle de mise en correspondance. Par exemple, pour que l'IdM recherche les entrées Issuer et Subject dans tout certificat qui lui est présenté et base sa décision d'authentifier ou non sur les informations trouvées dans ces deux entrées du certificat présenté : 

    (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})

  6. Saisir la règle de correspondance. Par exemple, pour n'autoriser que les certificats émis par Smart Card CA de l'organisation EXAMPLE.ORG à authentifier les utilisateurs de l'IdM : 

    <ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG

    Figure 9.2. Saisir les détails d'une règle de mappage de certificats dans l'interface web IdM

    Screenshot of the "Add Certificate Identity Mapping Rule" pop-up window with the following fields filled in: Rule name (which is required) - Mapping rule - Matching rule. The Priority field is blank and there is also an Add button next to the Domain name label.
  7. Cliquez sur Add en bas de la boîte de dialogue pour ajouter la règle et fermer la boîte.

  8. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD : 

    # systemctl restart sssd

Vous disposez à présent d'une règle de mappage de certificats qui compare le type de données spécifié dans la règle de mappage qu'elle trouve sur un certificat de carte à puce avec les données de mappage de certificats dans vos entrées d'utilisateur IdM. Lorsqu'elle trouve une correspondance, elle authentifie l'utilisateur correspondant.

9.2.2. Ajout d'une règle de mappage de certificats dans la CLI IdM

  1. Obtenir les informations d'identification de l'administrateur : 

    # kinit admin

  2. Saisir la règle de mise en correspondance et la règle de correspondance sur laquelle la règle de mise en correspondance est basée. Par exemple, pour que l'IdM recherche les entrées Issuer et Subject dans tout certificat présenté et fonde sa décision d'authentification ou non sur les informations trouvées dans ces deux entrées du certificat présenté, en ne reconnaissant que les certificats émis par l'organisation Smart Card CA de l'organisation EXAMPLE.ORG: 

    # ipa certmaprule-add rule_name --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'
-------------------------------------------------------
Added Certificate Identity Mapping Rule "rule_name"
-------------------------------------------------------
  Rule name: rule_name
  Mapping rule: (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})
  Matching rule: <ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG
  Enabled: TRUE

  3. Le System Security Services Daemon (SSSD) relit périodiquement les règles de mappage des certificats. Pour forcer le chargement immédiat de la règle nouvellement créée, redémarrez SSSD : 

    # systemctl restart sssd

Vous disposez à présent d'une règle de mappage de certificats qui compare le type de données spécifié dans la règle de mappage qu'elle trouve sur un certificat de carte à puce avec les données de mappage de certificats dans vos entrées d'utilisateur IdM. Lorsqu'elle trouve une correspondance, elle authentifie l'utilisateur correspondant.

9.2.3. Ajout de données de mappage de certificats à une entrée utilisateur dans l'interface web IdM

  1. Se connecter à l'interface web IdM en tant qu'administrateur.
  2. Naviguez vers UsersActive usersidm_user.
  3. Recherchez l'option Certificate mapping data et cliquez sur Add.

  4. Si vous disposez du certificat de idm_user:

    1. Dans l'interface ligne de commande, affichez le certificat à l'aide de l'utilitaire cat ou d'un éditeur de texte : 

      [root@server ~]# cat idm_user_certificate.pem
-----BEGIN CERTIFICATE-----
MIIFFTCCA/2gAwIBAgIBEjANBgkqhkiG9w0BAQsFADA6MRgwFgYDVQQKDA9JRE0u
RVhBTVBMRS5DT00xHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTAeFw0x
ODA5MDIxODE1MzlaFw0yMDA5MDIxODE1MzlaMCwxGDAWBgNVBAoMD0lETS5FWEFN
[...output truncated...]
    2. Copier le certificat.

    3. Dans l'interface web IdM, cliquez sur Add à côté de Certificate et collez le certificat dans la fenêtre qui s'ouvre.

      Figure 9.3. Ajout des données de mappage du certificat d'un utilisateur : certificat

      Screenshot of a page displaying settings for the user "demouser" with an Identity Settings column on the left with entries such as Job Title - First name - Last name - Full name - Display name. The "Account Settings" column is on the right with entries such as User login - Password - UID - GID. The "Add" button for the "Certificates" entry is highlighted.

      Alternativement, si vous ne disposez pas du certificat de idm_user mais connaissez le Issuer et le Subject du certificat, cochez le bouton radio de Issuer and subject et introduisez les valeurs dans les deux cases respectives.

      Figure 9.4. Ajout des données de mappage du certificat d'un utilisateur : émetteur et sujet

      Screenshot of the "Add Certificate Mapping Data" pop-up window with two radial button options: "Certificate mapping data" and "Issuer and subject." "Issuer and subject" is selected and its two fields (Issuer and Subject) have been filled out.
  5. Cliquez sur Add.

  6. Si vous avez accès à l'ensemble du certificat au format .pem, vérifiez que l'utilisateur et le certificat sont liés :

    1. Utilisez l'utilitaire sss_cache pour invalider l'enregistrement de idm_user dans le cache SSSD et forcer le rechargement des informations de idm_user: 

      # sss_cache -u idm_user

    2. Exécutez la commande ipa certmap-match avec le nom du fichier contenant le certificat de l'utilisateur IdM : 

      # ipa certmap-match idm_user_cert.pem
--------------
1 user matched
--------------
 Domain: IDM.EXAMPLE.COM
 User logins: idm_user
----------------------------
Number of entries returned 1
----------------------------

      Le résultat confirme que des données de mappage de certificats ont été ajoutées à idm_user et qu'une règle de mappage correspondante existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que idm_user.

9.2.4. Ajout de données de mappage de certificats à une entrée utilisateur dans la CLI IdM

  1. Obtenir les informations d'identification de l'administrateur : 

    # kinit admin

  2. Si vous disposez du certificat de idm_user, ajoutez le certificat au compte d'utilisateur à l'aide de la commande ipa user-add-cert: 

    # CERT=`cat idm_user_cert.pem | tail -n +2| head -n -1 | tr -d '\r\n'\`
# ipa user-add-certmapdata idm_user --certificate $CERT

    Alternativement, si vous n'avez pas le certificat de idm_user à votre disposition mais que vous connaissez le Issuer et le Subject du certificat de idm_user : 

    # ipa user-add-certmapdata idm_user --subject "O=EXAMPLE.ORG,CN=test" --issuer "CN=Smart Card CA,O=EXAMPLE.ORG"
--------------------------------------------
Added certificate mappings to user "idm_user"
--------------------------------------------
  User login: idm_user
  Certificate mapping data: X509:<I>O=EXAMPLE.ORG,CN=Smart Card CA<S>CN=test,O=EXAMPLE.ORG

  3. Si vous avez accès à l'ensemble du certificat au format .pem, vérifiez que l'utilisateur et le certificat sont liés :

    1. Utilisez l'utilitaire sss_cache pour invalider l'enregistrement de idm_user dans le cache SSSD et forcer le rechargement des informations de idm_user: 

      # sss_cache -u idm_user

    2. Exécutez la commande ipa certmap-match avec le nom du fichier contenant le certificat de l'utilisateur IdM : 

      # ipa certmap-match idm_user_cert.pem
--------------
1 user matched
--------------
 Domain: IDM.EXAMPLE.COM
 User logins: idm_user
----------------------------
Number of entries returned 1
----------------------------

      Le résultat confirme que des données de mappage de certificats ont été ajoutées à idm_user et qu'une règle de mappage correspondante existe. Cela signifie que vous pouvez utiliser n'importe quel certificat correspondant aux données de mappage de certificats définies pour vous authentifier en tant que idm_user.