Red Hat Training

A Red Hat training course is available for RHEL 8

53.5.2. 如果 AD 中的用户条目不包含证书或映射数据,则向 AD 用户的 ID 覆盖中添加证书

53.5.2.1. 在 IdM Web UI 中添加证书到 AD 用户的 ID 覆盖中

  1. 导航到 IdentityID ViewsDefault Trust View
  2. 单击 Add

    图 53.11. 在 IdM Web UI 中添加一个新的用户 ID 覆盖

    IdM Web UI 的截图,显示 Identity 选项卡中的"ID Views"页面。右侧的 Add 按钮会被高亮显示。
  3. User to override 字段中,输入 ad_user@ad.example.com
  4. ad_user 的证书复制并粘贴到 Certificate 字段中。

    图 53.12. 为 AD 用户配置用户 ID 覆盖

    使用以下字段显示"添加用户 ID override"弹出窗口的屏幕截图:用户要覆盖(需要)- 用户登录 - GECOS - UID - GID - 证书(已填写了证书的纯文本版本)。
  5. 单击 Add
  6. 另外,还可验证是否已链接用户和证书:

    1. 使用 sss_cache 程序在 SSSD 缓存中使 ad_user@ad.example.com 记录无效,并强制重新载入 ad_user@ad.example.com 信息:

      # sss_cache -u ad_user@ad.example.com
    2. 使用包含 AD 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match ad_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: AD.EXAMPLE.COM
       User logins: ad_user@ad.example.com
      ----------------------------
      Number of entries returned 1
      ----------------------------

      输出确认您已将证书映射数据添加到 ad_user@ad.example.com如果 AD 用户条目没有证书或映射数据,则代表 Adding a certificate 映射规则 中定义的对应映射规则。这意味着,您可以使用与定义的证书映射数据匹配的证书作为 ad_user@ad.example.com 进行身份验证。