Red Hat Training

A Red Hat training course is available for RHEL 8

53.4.2. 检查 AD 端的证书映射数据

altSecurityIdentities 属性是与 IdM 中的 certmapdata 用户属性等效的 Active Directory(AD)。当将可信 AD 域配置为将用户帐户映射到用户帐户时,IdM 系统管理员需要检查 AD 中的用户条目是否正确设置了 altSecurityIdentities 属性

要检查 AD 是否包含 AD 中存储的用户的正确信息,请使用 ldapsearch 命令。

  • 例如,输入以下命令检查 adserver.ad.example.com 服务器是否适用以下条件:

    • altSecurityIdentities 属性在 ad_user 的用户条目中设置。
    • matchrule 满足以下条件:

      • ad_user 用于向 AD 进行身份验证的证书由 ad.example.com 域的 AD-ROOT-CA 签发。
      • 主题为 <S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user
    $ ldapsearch -o ldif-wrap=no -LLL -h adserver.ad.example.com \
    -p 389 -D cn=Administrator,cn=users,dc=ad,dc=example,dc=com \
    -W -b cn=users,dc=ad,dc=example,dc=com "(cn=ad_user)" \
    altSecurityIdentities
    Enter LDAP Password:
    dn: CN=ad_user,CN=Users,DC=ad,DC=example,DC=com
    altSecurityIdentities: X509:<I>DC=com,DC=example,DC=ad,CN=AD-ROOT-CA<S>DC=com,DC=example,DC=ad,CN=Users,CN=ad_user