Red Hat Training

A Red Hat training course is available for RHEL 8

53.2.2. 在 IdM 中添加证书映射数据到用户条目

本节论述了如何输入证书映射数据到 IdM 用户条目,以便用户可以使用多个证书进行身份验证,只要它们都包含证书映射数据条目中指定的值。

53.2.2.1. 在 IdM Web UI 中添加证书映射数据到用户条目

  1. 以管理员身份登录 IdM Web UI。
  2. 导航到 UsersActive usersidm_user
  3. 查找 证书映射数据 选项并单击 Add
  4. 如果您有 idm_user 证书,请随时使用:

    1. 在命令行界面中,使用 cat 实用程序或文本编辑器显示证书:

      [root@server ~]# cat idm_user_certificate.pem
      -----BEGIN CERTIFICATE-----
      MIIFFTCCA/2gAwIBAgIBEjANBgkqhkiG9w0BAQsFADA6MRgwFgYDVQQKDA9JRE0u
      RVhBTVBMRS5DT00xHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTAeFw0x
      ODA5MDIxODE1MzlaFw0yMDA5MDIxODE1MzlaMCwxGDAWBgNVBAoMD0lETS5FWEFN
      [...output truncated...]
    2. 复制证书。
    3. 在 IdM Web UI 中,单击 Certificate 旁边的 Add,并将证书粘贴到打开的窗口中。

      图 53.3. 添加用户证书映射数据:证书

      页面截图显示用户"demouser"的设置,其中包含左侧的 Identity Settings 列,以及作业标题 - First name - Last name - Full name - Display name 等条目。"帐户设置"列位于右侧,包含条目(如用户登录 - 密码 - UID - GID)。系统突出显示"证书"条目的"添加"按钮。

      或者,如果您还没有 idm_user 证书,但知道证书的 颁发者和 主题,请检查 Issuer 和 subject 单选按钮,然后在两个框中输入值。

      图 53.4. 添加用户证书映射数据:签发者和主题

      "添加证书映射数据"弹出窗口的屏幕截图有两个重要按钮选项:证书映射数据"证书映射数据"和"Issuer 和 subject."已选中,并且填写了它的两个字段(颁发程序和主题)。
  5. 单击 Add
  6. 另外,如果您能够以 .pem 格式访问整个证书,请验证是否已链接用户和证书:

    1. 使用 sss_cache 程序在 SSSD 缓存中使 idm_user 记录无效,并强制重新载入 idm_user 信息:

      # sss_cache -u idm_user
    2. 使用包含 IdM 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match idm_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: IDM.EXAMPLE.COM
       User logins: idm_user
      ----------------------------
      Number of entries returned 1
      ----------------------------

      输出确认您现在已将证书映射数据添加到 idm_user,并且存在对应的映射规则。这意味着,您可以使用与定义的证书映射数据匹配的任何证书,以 idm_user 进行身份验证。