Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
23.2.4. ユーザー証明書をユーザーアカウントにマッピングするように AD が設定されている場合に、証明書マッピングの設定
このセクションでは、IdM デプロイメントが Active Directory (AD) を信頼し、そのユーザーが AD に保存され、AD のユーザーエントリーに証明書マッピングデータが含まれる場合に、IdM で証明書マッピングを有効にするのに必要な手順を説明します。
前提条件
- IdM にユーザーアカウントがない。
- このユーザーに、
altSecurityIdentities
属性を含む AD にアカウントがある。AD は、IdM のcertmapdata
属性に相当します。 - IdM 管理者が、IdM 証明書マッピングルールが基になっているデータにアクセスできる。
23.2.4.1. 信頼された AD ドメインがユーザー証明書をマッピングするように設定されている場合に、Web UI を使用した証明書マッピングルールの追加
信頼された AD ドメインがユーザー証明書をマッピングするように設定されている場合に、証明書マッピングルールを追加するには、以下を実行します。
- 管理者として IdM Web UI にログインします。
- Authentication → Certificate Identity Mapping Rules → Certificate Identity Mapping Rulesに移動します。
- Add をクリックします。
図23.7 IdM Web UI で新しい証明書マッピングルールの追加
- ルール名を入力します。
- マッピングルールを入力します。たとえば、提示された証明書で
Issuer
エントリーおよびSubject
エントリーを AD DC で検索し、提示された証明書に含まれるこの 2 つのエントリーで見つかった情報に基づいて認証するかどうかを決定するには、次のコマンドを実行します。(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
- マッチングルールを入力します。たとえば、
AD.EXAMPLE.COM
ドメインのAD-ROOT-CA
が発行する証明書のみを許可し、IdM に対してユーザーを認証するには、次のコマンドを実行します。<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
- ドメインを入力します。
ad.example.com
図23.8 AD がマッピング用に設定されている場合の証明書マッピングルール
- Add をクリックします。
- System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにする場合は、次のコマンドを実行して SSSD を再起動します。
# systemctl restart sssd