Red Hat Training

A Red Hat training course is available for RHEL 8

第 68 章 在身份管理中配置证书映射规则

证书映射规则是一种便捷的方式,当身份管理(IdM)管理员无法访问某些用户的证书时,用户可以轻松使用证书进行身份验证。这通常是因为证书已由外部证书颁发机构发布。

68.1. 用于配置身份验证的证书映射规则

在以下情况下可能需要配置证书映射规则:

  • 证书已由 IdM 域处于信任关系的活动目录(AD)的证书系统发布。
  • 证书已由外部证书颁发机构发布。
  • IdM 环境较大,有很多使用智能卡的用户。在这种情况下,添加完整证书可能会比较复杂。在大多数情况下,主题和签发者是可预测的,因此与完整证书相比,提前添加更容易。

作为系统管理员,您可以创建证书映射规则,并在向特定用户签发证书之前,为用户条目添加证书映射数据。签发证书后,用户可以使用该证书登录,即使完整证书尚未上传到用户条目。

另外,因为证书会定期续订,所以证书映射规则减少了管理开销。续订用户证书时,管理员不必更新用户条目。例如,如果映射基于 SubjectIssuer 值,如果新证书的主题和签发者与旧证书相同,则映射仍适用。如果使用完整证书,则管理员必须将新证书上传到用户条目以替换旧证书。

设置证书映射:

  1. 管理员必须将证书映射数据或完整证书加载到用户帐户中。
  2. 管理员必须创建证书映射规则,以允许其帐户包含与证书上的信息匹配的证书映射数据条目的用户成功登录到 IdM。

创建证书映射规则后,当最终用户提供保存在 文件系统智能卡 上的证书时,身份验证可以成功。

注意

密钥分发中心(KDC)有一个证书映射规则的缓存。缓存在第一个 certauth 请求时填充,它有一个硬编码的 300 秒超时。KDC 不会看到对证书映射规则的任何更改,除非它重启了或缓存过期了。

有关构成映射规则的单独组件,以及如何获取和使用它们的详细信息,请参阅 IdM 中的身份映射规则组件,以及获取证书中的签发者,以便在匹配规则中使用

注意

您的证书映射规则可取决于您使用证书的用例。例如,如果您使用带有证书的 SSH,则必须有从证书中提取公钥的完整证书。