Menu Close

9.5. 如果 AD 用户条目不包含证书或映射数据,配置证书映射

这个用例描述了在 IdM 部署中使用 Active Directory(AD)启用证书映射所需的步骤,用户存储在 AD 中,并且 AD 中的用户条目没有包含整个证书也没有证书映射数据。

先决条件

  • 用户在 IdM 中没有帐户。
  • 用户在 AD 中包含一个帐户,其中没有包含整个证书也没有包括 altSecurityIdentities 属性,AD 相当于 IdM certmapdata 属性。
  • IdM 管理员具有要添加到 IdM 中的 AD 用户的 user ID override 的完整 AD 用户证书。

9.5.1. 在 IdM Web UI 中添加证书映射规则

  1. 以管理员身份登录 IdM Web UI。
  2. 进入到 AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules
  3. Add

    图 9.9. 在 IdM web UI 中添加新证书映射规则

    IdM Web UI 的截图显示 Authentication 选项卡中的"Certificate Identity Mapping Rules"子页。右侧"添加"按钮被高亮显示
  4. 输入规则名称。
  5. 输入映射规则。与存储在 IdM 中的 AD 用户条目中的证书相比,会出现 IdM 为进行身份验证的整个证书:

    (userCertificate;binary={cert!bin})
  6. 输入匹配的规则。例如,只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 签发的证书进行验证:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  7. 输入域名。例如,要在 ad.example.com 域中搜索用户:

    图 9.10. 用户没有证书或映射存储在 AD 中的数据的证书映射规则

    "添加证书身份映射规则"弹出窗口的截图,包含以下字段填写以下字段:规则名称(必需)-Mapping 规则 - 匹配规则。"Priority"字段为空,"Domain name"标签旁边还有一个添加按钮。
  8. Add
  9. 系统安全服务守护进程(SSSD)会定期重新读取证书映射规则。要强制新创建的规则立即载入,在 CLI 中重启 SSSD:

    # systemctl restart sssd