Menu Close

9.2.3. 在 IdM web UI 中的用户条目中添加证书映射数据

  1. 以管理员身份登录 IdM Web UI。
  2. 进入 UsersActive usersidm_user
  3. 找到 Certificate mapping data 选项并点 Add
  4. 如果您有 idm_user 的证书:

    1. 在命令行界面中,使用 cat 或文本编辑器显示证书:

      [root@server ~]# cat idm_user_certificate.pem
      -----BEGIN CERTIFICATE-----
      MIIFFTCCA/2gAwIBAgIBEjANBgkqhkiG9w0BAQsFADA6MRgwFgYDVQQKDA9JRE0u
      RVhBTVBMRS5DT00xHjAcBgNVBAMMFUNlcnRpZmljYXRlIEF1dGhvcml0eTAeFw0x
      ODA5MDIxODE1MzlaFw0yMDA5MDIxODE1MzlaMCwxGDAWBgNVBAoMD0lETS5FWEFN
      [...output truncated...]
    2. 复制证书。
    3. 在 IdM Web UI 中,点 证书 旁边的 Add,并将证书粘贴到打开的窗口中。

      图 9.3. 添加用户的证书映射数据:证书

      显示用户"demouser"的页面的截图,其中列有条目,如作业标题 - 名字 - 姓氏 - 显示名称等。"Account Settings"列位于右侧,包含用户登录 - 密码 - UID - GID 等条目。"Certificates"条目的"添加"按钮会被突出显示。

      或者,如果您没有 idm_user 证书,但知道证书的 IssuerSubject 信息,选中 Issuer and subject 并在相关的两个框中输入这两个值。

      图 9.4. 添加用户的证书映射数据:签发者和主题

      "添加证书映射数据"弹出式窗口带有两个分类按钮选项:"证书映射数据"和"Issuer 和 subject"的截屏,选择了"Issuer 和 subject",并填写了两个字段(Issuer 和 Subject)。
  5. Add
  6. 另外,如果您能够以 .pem 格式访问整个证书,请验证用户和证书是否已链接:

    1. 使用 sss_cache 实用程序使 SSSD 缓存中的 idm_user 记录失效,并强制重新载入 idm_user 信息:

      # sss_cache -u idm_user
    2. 使用包含 IdM 用户证书的文件名称运行 ipa certmap-match 命令:

      # ipa certmap-match idm_user_cert.pem
      --------------
      1 user matched
      --------------
       Domain: IDM.EXAMPLE.COM
       User logins: idm_user
      ----------------------------
      Number of entries returned 1
      ----------------------------

      输出确认现在已将证书映射数据添加到 idm_user,并且存在对应的映射规则。这意味着,您可以使用与定义的证书映射数据匹配的证书,以 idm_user 进行身份验证。