Menu Close
9.2. 为存储在 IdM 中的用户配置证书映射
这个用户故事描述了,如果用户配置了证书身份验证,则系统管理员必须在 IdM 中启用证书映射的步骤。本节描述了以下内容:
- 如何设置证书映射规则,以使带有与映射规则及其证书映射数据项中指定的条件相匹配的证书的 IdM 用户可以向 IdM 进行身份验证。
- 如何向 IdM 用户条目输入证书映射数据,以便用户可以使用多个证书进行身份验证,只要这些证书都包含证书映射数据条目中指定的值。
先决条件
- 用户在 IdM 中有一个帐户。
- 管理员具有要添加到用户条目的整个证书或证书映射数据。
9.2.1. 在 IdM Web UI 中添加证书映射规则
- 以管理员身份登录到 IdM Web UI。
-
进入到
Authentication
→Certificate Identity Mapping Rules
→Certificate Identity Mapping Rules
。 点
Add
。图 9.1. 在 IdM web UI 中添加新证书映射规则
- 输入规则名称。
输入映射规则。例如,要让 IdM 搜索提供给它们的任何证书中带有
Issuer
和Subject
条目,并根据在提供的证书中的这两个条目是否被找到来决定进行验证或不验证。(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})
输入匹配的规则。例如,只允许由
EXAMPLE.ORG
机构的智能卡 CA
签发的证书以向 IdM 验证用户:<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG
图 9.2. 在 IdM Web UI 中输入证书映射规则的详情
-
点对话框底部的
Add
,添加规则并关闭该框。 系统安全服务守护进程(SSSD)会定期重新读取证书映射规则。要强制立即载入新创建的规则,重启 SSSD:
# systemctl restart sssd
现在,您设置了一个证书映射规则,它将把在智能卡证书中找到的映射规则中指定的数据类型与您的 IdM 用户条目中的证书映射数据进行比较。找到匹配项后,它会验证匹配的用户。