Red Hat Training

A Red Hat training course is available for RHEL 8

53.2.2.2. 在 IdM CLI 中添加证书映射数据到用户条目

  1. 获取管理员凭证:

    # kinit admin
  2. 如果您有 idm_user 证书,请使用 ipa user-add-cert 命令将证书添加到用户帐户中:

    # CERT=`cat idm_user_cert.pem | tail -n +2| head -n -1 | tr -d '\r\n'\`
    # ipa user-add-certmapdata idm_user --certificate $CERT

    或者,如果您还没有 idm_user 证书,但知道 发行者和 id m_user 证书的主题:

    # ipa user-add-certmapdata idm_user --subject "O=EXAMPLE.ORG,CN=test" --issuer "CN=Smart Card CA,O=EXAMPLE.ORG"
    --------------------------------------------
    Added certificate mappings to user "idm_user"
    --------------------------------------------
      User login: idm_user
      Certificate mapping data: X509:<I>O=EXAMPLE.ORG,CN=Smart Card CA<S>CN=test,O=EXAMPLE.ORG
  3. 另外,如果您能够以 .pem 格式访问整个证书,请验证是否已链接用户和证书:

    1. 使用 sss_cache 程序在 SSSD 缓存中使 idm_user 记录无效,并强制重新载入 idm_user 信息:

      # sss_cache -u idm_user
    2. 使用包含 IdM 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match idm_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: IDM.EXAMPLE.COM
       User logins: idm_user
      ----------------------------
      Number of entries returned 1
      ----------------------------

      输出确认您现在已将证书映射数据添加到 idm_user,并且存在对应的映射规则。这意味着,您可以使用与定义的证书映射数据匹配的任何证书,以 idm_user 进行身份验证。