Menu Close

9.3. 为 AD 用户条目包含整个证书的用户配置证书映射

这个用例介绍了在 IdM 部署中启用证书映射所需的步骤(如果使用受 Active Directory(AD)信任的 IdM 部署,用户存储在 AD 中,并且 AD 中的用户条目包含整个证书)。

先决条件

  • 用户在 IdM 中没有帐户。
  • 用户在 AD 中有一个包含证书的帐户。
  • IdM 管理员有权访问 IdM 证书映射规则可以基于的数据。

9.3.1. 在 IdM Web UI 中添加证书映射规则

  1. 以管理员身份登录 IdM Web UI。
  2. 进入到 AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules
  3. Add

    图 9.5. 在 IdM web UI 中添加新证书映射规则

    IdM Web UI 的截图显示 Authentication 选项卡中的"Certificate Identity Mapping Rules"子页。右侧"添加"按钮被突出显示。
  4. 输入规则名称。
  5. 输入映射规则。与 AD 中可用的内容相比,会出现 IdM 为身份验证的整个证书:

    (userCertificate;binary={cert!bin})
  6. 输入匹配的规则。例如,只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 签发的证书进行验证:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com

    图 9.6. 用户使用存储在 AD 中的证书的用户的证书映射规则

    "添加证书身份映射规则"弹出窗口的截图,包含以下字段填写以下字段:规则名称(必需)-Mapping 规则 - 匹配规则。Priority 字段为空,"Domain name"标签旁边还有一个"添加"按钮。
  7. Add
  8. 系统安全服务守护进程(SSSD)会定期重新读取证书映射规则。要强制立即载入新创建的规则,请在 CLI 中重启 SSSD:

    # systemctl restart sssd