Menu Close

9.4. 如果将 AD 配置为将用户证书映射到用户帐户,配置证书映射

这个用例描述了在 IdM 部署中使用 Active Directory(AD)启用证书映射所需的步骤,用户存储在 AD 中,并且 AD 中的用户条目包含证书映射数据。

先决条件

  • 用户在 IdM 中没有帐户。
  • 用户在 AD 中有一个帐户,其中包含 altSecurityIdentities 属性(AD 等同于 IdM certmapdata 属性)。
  • IdM 管理员有权访问 IdM 证书映射规则可以基于的数据。

9.4.1. 在 IdM Web UI 中添加证书映射规则

  1. 以管理员身份登录 IdM Web UI。
  2. 进入到 AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules
  3. Add

    图 9.7. 在 IdM web UI 中添加新证书映射规则

    IdM Web UI 的截图显示 Authentication 选项卡中的"Certificate Identity Mapping Rules"子选项卡。页面右侧的"添加"按钮被突出显示。
  4. 输入规则名称。
  5. 输入映射规则。例如,要让 AD DC 搜索提供给它们的任何证书中带有 IssuerSubject 条目,并根据在提供的证书中的这两个条目是否被找到来决定进行验证或不验证。

    (altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<S>{subject_dn!ad_x500})
  6. 输入匹配的规则。例如,只允许 AD.EXAMPLE.COM 域的 AD-ROOT-CA 签发的证书在 IdM 中验证用户:

    <ISSUER>CN=AD-ROOT-CA,DC=ad,DC=example,DC=com
  7. 输入域:

    ad.example.com

    图 9.8. 如果为映射配置了 AD,则证书映射规则

    "添加证书身份映射规则"弹出窗口的截图,包含以下字段填写以下字段:规则名称(必需)-Mapping 规则 - 匹配规则。"Priority"字段为空,"Domain name"标签旁边还有一个"添加"按钮。
  8. Add
  9. 系统安全服务守护进程(SSSD)会定期重新读取证书映射规则。要强制立即载入新创建的规则,请在 CLI 中重启 SSSD:

    # systemctl restart sssd