Red Hat Training

A Red Hat training course is available for RHEL 8

43.3. Configuração do mapeamento de certificados para usuários cuja entrada de usuário AD contém o certificado completo

Esta história de usuário descreve os passos necessários para habilitar o mapeamento de certificados no IdM se a implantação do IdM estiver em confiança com o Active Directory (AD), o usuário é armazenado no AD e a entrada do usuário no AD contém o certificado completo.

Pré-requisitos

  • O usuário não tem uma conta na IdM.
  • O usuário tem uma conta no AD que contém um certificado.
  • O administrador do IdM tem acesso aos dados nos quais a regra de mapeamento de certificados IdM pode ser baseada.

43.3.1. Adicionando uma regra de mapeamento de certificados para usuários cuja entrada AD contém certificados inteiros

43.3.1.1. Adicionando uma regra de mapeamento de certificados na IDM web UI

  1. Entre na IDM web UI como administrador.
  2. Navegue para AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules.

  3. Clique em Add.

    Figura 43.5. Adicionando uma nova regra de mapeamento de certificados na interface web do IdM

    new certmaprule add
  4. Digite o nome da regra.

  5. Insira a regra de mapeamento. Ter todo o certificado que é apresentado à IdM para autenticação, em comparação com o que está disponível no AD: 

    (userCertificate;binary={cert!bin})

  6. Insira a regra de correspondência. Por exemplo, para permitir somente a autenticação de certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM: 

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

    Figura 43.6. Regra de mapeamento de certificados para um usuário com um certificado armazenado no AD

    certmaprule add details ad cert
  7. Clique em Add.

  8. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD no CLI:: 

    # systemctl restart sssd

43.3.1.2. Adição de uma regra de mapeamento de certificados no IdM CLI

  1. Obter as credenciais do administrador: 

    # kinit admin

  2. Insira a regra de mapeamento e a regra de correspondência na qual a regra de mapeamento se baseia. Ter todo o certificado que é apresentado para autenticação em comparação com o que está disponível no AD, permitindo apenas que os certificados emitidos pelo AD-ROOT-CA do domínio AD.EXAMPLE.COM se autentiquem: 

    # ipa certmaprule-add simpleADrule --matchrule '<ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com' --maprule '(userCertificate;binary={cert!bin})' --domain ad.example.com
-------------------------------------------------------
Added Certificate Identity Mapping Rule "simpleADrule"
-------------------------------------------------------
  Rule name: simpleADrule
  Mapping rule: (userCertificate;binary={cert!bin})
  Matching rule: <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  Domain name: ad.example.com
  Enabled: TRUE

  3. O System Security Services Daemon (SSSD) relê periodicamente as regras de mapeamento de certificados. Para forçar a regra recém-criada a ser carregada imediatamente, reinicie o SSSD: 

    # systemctl restart sssd