Menu Close

9.5.4. 在 IdM CLI 中添加证书到 AD 用户的 ID 覆盖中

其他资源

  1. 获取管理员凭证:

    # kinit admin
  2. 将证书 blob 保存在名为 CERT 的新变量中:

    # CERT=`cat ad_user_cert.pem | tail -n +2| head -n -1 | tr -d '\r\n'\`
  3. 使用 ipa idoverrideuser-add-cert 命令将 ad_user@ad.example.com 的证书添加到用户帐户中:

    # ipa idoverrideuser-add-cert ad_user@ad.example.com --certificate $CERT

验证步骤

  • 验证用户和证书是否已链接:

    • 使用 sss_cache 工具使 SSSD 缓存中的 ad_user@ad.example.com 记录失效,并强制重新载入 ad_user@ad.example.com 信息:

      # sss_cache -u ad_user@ad.example.com
    • 使用包含 AD 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match ad_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: AD.EXAMPLE.COM
       User logins: ad_user@ad.example.com
      ----------------------------
      Number of entries returned 1
      ----------------------------

输出确认了您已将证书映射数据添加到 ad_user@ad.example.com ,并且 如果 AD 用户条目不包含证书或映射数据 中定义的相应的映射规则存在。这意味着,您可以使用与定义的证书映射数据匹配的证书,以 ad_user@ad.example.com 进行身份验证。