Red Hat Training

A Red Hat training course is available for RHEL 8

43.4. Configuração do mapeamento de certificados se o AD estiver configurado para mapear certificados de usuários para contas de usuários

Esta história de usuário descreve os passos necessários para habilitar o mapeamento de certificados no IdM se a implantação do IdM estiver em confiança com o Active Directory (AD), o usuário é armazenado no AD e a entrada do usuário no AD contém dados de mapeamento de certificados.

Pré-requisitos

  • O usuário não tem uma conta na IdM.
  • O usuário tem uma conta no AD que contém o atributo altSecurityIdentities, o equivalente do AD do atributo IdM certmapdata.
  • O administrador do IdM tem acesso aos dados nos quais a regra de mapeamento de certificados IdM pode ser baseada.

43.4.1. Adicionar uma regra de mapeamento de certificados se o domínio AD confiável estiver configurado para mapear certificados de usuários

43.4.1.1. Adicionando uma regra de mapeamento de certificados na IDM web UI

  1. Entre na IDM web UI como administrador.
  2. Navegue para AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules.
  3. Clique em Add.

    Figura 43.7. Adicionando uma nova regra de mapeamento de certificados na interface web do IdM

    new certmaprule add
  4. Digite o nome da regra.
  5. Insira a regra de mapeamento. Por exemplo, para fazer a pesquisa AD DC para as entradas Issuer e Subject em qualquer certificado apresentado, e basear sua decisão de autenticar ou não nas informações encontradas nestas duas entradas do certificado apresentado:

    (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
  6. Insira a regra de correspondência. Por exemplo, permitir somente certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM para autenticar usuários ao IdM:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  7. Entre no domínio:

    ad.example.com

    Figura 43.8. Regra de mapeamento de certificados se o AD estiver configurado para mapeamento

    certmaprule add details ad map
  8. Clique em Add.
  9. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD no CLI::

    # systemctl restart sssd

43.4.1.2. Adição de uma regra de mapeamento de certificados no IdM CLI

  1. Obter as credenciais do administrador:

    # kinit admin
  2. Insira a regra de mapeamento e a regra de correspondência na qual a regra de mapeamento se baseia. Por exemplo, para fazer a pesquisa AD para as entradas Issuer e Subject em qualquer certificado apresentado, e permitir somente os certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM:

    # ipa certmaprule-add ad_configured_for_mapping_rule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})' --domain=ad.example.com
    -------------------------------------------------------
    Added Certificate Identity Mapping Rule "ad_configured_for_mapping_rule"
    -------------------------------------------------------
      Rule name: ad_configured_for_mapping_rule
      Mapping rule: (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
      Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
      Domain name: ad.example.com
      Enabled: TRUE
  3. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD:

    # systemctl restart sssd