Menu Close

3.2. IdM 中身份映射规则的组件

本节论述了 IdM 中 身份映射规则 的组件以及如何配置它们。每个组件都有一个可覆盖的默认值。您可以在 Web UI 或 CLI 中定义这些组件。在 CLI 中,身份映射规则是使用 ipa certmaprule-add 命令创建的。

映射规则

映射规则组件将(或 映射)证书与一个或多个用户帐户相关联。规则定义了一个 LDAP 搜索过滤器,用于将证书与预期用户帐户相关联。

由不同证书颁发机构(CA)发布的证书可能具有不同的属性,可能在不同的域中使用。因此,IdM 不会以无条件的方式应用映射规则,而是只应用于适当的证书。适当的证书是使用 匹配规则 定义的。

请注意,如果您将映射规则选项留空,则会在 userCertificate 属性中搜索证书作为编码的二进制文件。

在 CLI 中使用 --maprule 选项定义映射规则。

匹配规则

匹配的规则组件选择您要应用映射规则的证书。默认匹配规则与带有 digitalSignature key 使用和 clientAuth extended key 使用的证书匹配。

使用 --matchrule 选项在 CLI 中定义匹配的规则。

域列表

域列表指定您希望 IdM 在处理身份映射规则时搜索用户的身份域。如果您未指定选项,IdM 将仅在 IdM 客户端所属的本地域中搜索用户。

使用 --domain 选项在 CLI 中定义域。

优先级

当多个规则适用于证书时,具有最高优先级的规则将具有优先权。所有其他规则将被忽略。

  • 数字值越低,身份映射规则的优先级越高。例如,具有优先级 1 的规则的优先级高于优先级 2 的规则。
  • 如果规则没有定义优先级值,它具有最低的优先级。

使用 --priority 选项在 CLI 中定义映射规则优先级。

证书映射规则示例

要定义,使用 CLI,一个被称为 simple_rule 的证书映射规则,允许使用 EXAMPLE.ORG 机构的 Smart Card CA 签发的证书进行验证,只要该证书上的 Subject 与 IdM 中用户帐户中的 certmapdata 条目匹配:

# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'