第 4 章 用于在智能卡中配置身份验证的证书映射规则
证书映射规则是允许用户在 Identity Management(IdM)管理员无法访问某些用户证书时使用证书进行身份验证的方法。不足的访问权限通常是由证书由外部证书颁发机构发布的事实造成的。一个特殊的用例由 IdM 域在信任关系中的 Active Directory(AD)的证书系统发布。
如果 IdM 环境较大且有大量使用智能卡的用户,使用证书映射规则就会比较方便。在这种情况下,添加完整证书可能会比较复杂。在大多数场景中,主题和发行者都是可预测的,因此提前添加的时间比完整证书更容易。作为系统管理员,您可以创建证书映射规则,并在向特定用户签发证书前向用户条目添加证书映射数据。签发证书后,用户就可以使用证书登录,即使证书还没有上传到用户条目。
另外,因为必须定期续订证书,证书映射规则减少了管理开销。用户的证书续订时,管理员必须更新用户条目。例如,如果映射基于 Subject 和 Issuer 的值,如果新的证书具有与旧证书相同的主题和签发者,则映射仍适用。如果使用完整证书,则管理员必须将新证书上传到用户条目以替换旧证书。
设置证书映射:
- 管理员必须将证书映射数据(通常是签发者和主体)或完整证书加载到用户帐户中。
管理员必须创建证书映射规则,允许用户成功登录到 IdM
- 其帐户包含证书映射数据条目
- 哪个证书映射数据条目与证书的信息匹配
有关构成映射规则的单独组件,以及如何获取和使用它们的详细信息,请参阅 IdM 中的身份映射规则组件,以及获取证书中的签发者,以便在匹配规则中使用。
之后,当最终用户提供存储在 文件系统 或 智能卡 上的证书时,身份验证成功。
4.1. 使用 Active Directory 域信任的证书映射规则
本节概述了在与 Active Directory(AD)域的信任关系时可能出现的不同证书映射用例。
证书映射规则是为具有可信 AD 证书系统发布的智能卡证书的用户启用 IdM 资源的便捷方法。根据 AD 配置,可能会出现以下情况:
- 如果证书由 AD 发出,但用户和证书存储在 IdM 中,那么身份验证请求的映射和整个处理都位于 IdM 端。有关配置此情境的详情,请参阅为存储在 IdM 中的用户配置证书映射
如果用户存储在 AD 中,则身份验证请求的处理发生在 AD 中。有三个不同的子案例:
- AD 用户条目包含整个证书。有关在这种情况下配置 IdM 的详情,请参考为 AD 用户条目包含整个证书的用户配置证书映射。
-
AD 配置为将用户证书映射到用户帐户。在这种情况下,AD 用户条目不包含整个证书,而是包含名为
altSecurityIdentities的属性。有关如何在这种场景中配置 IdM 的详情,请参阅在将 AD 配置为将用户证书映射到用户帐户时配置证书 映射。 -
AD 用户条目既不包含整个证书也不包括映射数据。在这种情况下,唯一解决方案是使用
ipa idoverrideuser-add命令将整个证书添加到 IdM 中的 AD 用户 ID 覆盖中。详情请参阅 AD 用户条目不包含证书或映射数据时配置证书映射。
.