Red Hat Training

A Red Hat training course is available for RHEL 8

53.5.2.2. 在 IdM CLI 中在 AD 用户的 ID 覆盖中添加证书

  1. 获取管理员凭证:

    # kinit admin
  2. 使用 ipa idoverrideuser-add-cert 命令将 ad_user@ad.example.com 的证书添加到用户帐户中:

    # CERT=`cat ad_user_cert.pem | tail -n +2| head -n -1 | tr -d '\r\n'\`
    # ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT
  3. 另外,还可验证是否已链接用户和证书:

    1. 使用 sss_cache 程序在 SSSD 缓存中使 ad_user@ad.example.com 记录无效,并强制重新载入 ad_user@ad.example.com 信息:

      # sss_cache -u ad_user@ad.example.com
    2. 使用包含 AD 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match ad_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: AD.EXAMPLE.COM
       User logins: ad_user@ad.example.com
      ----------------------------
      Number of entries returned 1
      ----------------------------

      输出确认您已将证书映射数据添加到 ad_user@ad.example.com如果 AD 用户条目没有证书或映射数据,则代表 Adding a certificate 映射规则 中定义的对应映射规则。这意味着,您可以使用与定义的证书映射数据匹配的证书作为 ad_user@ad.example.com 进行身份验证。