Menu Close

9.2. 为存储在 IdM 中的用户配置证书映射

这个用户故事描述了,如果用户配置了证书身份验证,则系统管理员必须在 IdM 中启用证书映射的步骤。本节描述了以下内容:

  • 如何设置证书映射规则,以使带有与映射规则及其证书映射数据项中指定的条件相匹配的证书的 IdM 用户可以向 IdM 进行身份验证。
  • 如何向 IdM 用户条目输入证书映射数据,以便用户可以使用多个证书进行身份验证,只要这些证书都包含证书映射数据条目中指定的值。

先决条件

  • 用户在 IdM 中有一个帐户。
  • 管理员具有要添加到用户条目的整个证书或证书映射数据。

9.2.1. 在 IdM Web UI 中添加证书映射规则

  1. 以管理员身份登录到 IdM Web UI。
  2. 进入到 AuthenticationCertificate Identity Mapping RulesCertificate Identity Mapping Rules

  3. Add

    图 9.1. 在 IdM web UI 中添加新证书映射规则

    IdM Web UI 的截图显示 Authentication 选项卡中的"Certificate Identity Mapping Rules"子选项卡。页面右侧的"添加"按钮被突出显示。
  4. 输入规则名称。

  5. 输入映射规则。例如,要让 IdM 搜索提供给它们的任何证书中带有 IssuerSubject 条目,并根据在提供的证书中的这两个条目是否被找到来决定进行验证或不验证。 

    (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})

  6. 输入匹配的规则。例如,只允许由 EXAMPLE.ORG 机构的 智能卡 CA 签发的证书以向 IdM 验证用户: 

    <ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG

    图 9.2. 在 IdM Web UI 中输入证书映射规则的详情

    "添加证书身份映射规则"弹出窗口的截图,包含以下字段填写以下字段:规则名称(必需)-Mapping 规则 - 匹配规则。Priority 字段留空,域名标签旁边还有一个添加按钮。
  7. 点对话框底部的 Add,添加规则并关闭该框。

  8. 系统安全服务守护进程(SSSD)会定期重新读取证书映射规则。要强制立即载入新创建的规则,重启 SSSD: 

    # systemctl restart sssd

现在,您设置了一个证书映射规则,它将把在智能卡证书中找到的映射规则中指定的数据类型与您的 IdM 用户条目中的证书映射数据进行比较。找到匹配项后,它会验证匹配的用户。