Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
23.2.5. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、証明書マッピングの設定
このセクションでは、IdM デプロイメントが Active Directory (AD) を信頼し、そのユーザーが AD に保存され、AD のユーザーエントリーに証明書全体または証明書マッピングデータが含まれる場合に、IdM で証明書マッピングを有効にするのに必要な手順を説明します。
前提条件
- IdM にユーザーアカウントがない。
- ユーザーのアカウントがある AD に、証明書全体、または
altSecurityIdentities
属性、IdMcertmapdata
属性で AD に相当するものがない。 - IdM 管理者が、IdM に、AD ユーザーの
ユーザー ID オーバーライド
に追加する AD ユーザー証明書全体を所有している。
23.2.5.1. AD ユーザーエントリーに証明書やマッピングデータが含まれていない場合に、Web UI を使用した証明書マッピングルールの追加
AD ユーザーエントリーに、証明書やマッピングデータが含まれていない場合に、Web UI を使用して証明書マッピングルールを追加するには、以下を実行します。
- 管理者として IdM Web UI にログインします。
- Authentication → Certificate Identity Mapping Rules → Certificate Identity Mapping Rulesに移動します。
- Add をクリックします。
図23.9 IdM Web UI で新しい証明書マッピングルールの追加
- ルール名を入力します。
- マッピングルールを入力します。認証するために IdM に提示された証明書全体を、IdM の AD ユーザーエントリーのユーザー ID オーバーライドエントリーに保存されている証明書と比較できるようにするには、次のコマンドを実行します。
(userCertificate;binary={cert!bin})
- マッチングルールを入力します。たとえば、
AD.EXAMPLE.COM
ドメインのAD-ROOT-CA
が発行する証明書のみを認証できるようにするには、次のコマンドを実行します。<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
- ドメイン名を入力します。たとえば、
ad.example.com
ドメインでユーザーを検索するには、以下を実行します。図23.10 AD に証明書やマッピングデータが保存されていないユーザーに対する証明書マッピングルール
- Add をクリックします。
- System Security Services Daemon (SSSD) は、証明書マッピングルールを定期的に再読み込みします。新たに作成したルールがすぐに読み込まれるようにする場合は、次のコマンドを実行して SSSD を再起動します。
# systemctl restart sssd