Menu Close
3.2. IdM 中身份映射规则的组件
本节论述了 IdM 中 身份映射规则 的组件以及如何配置它们。每个组件都有一个可覆盖的默认值。您可以在 Web UI 或 CLI 中定义这些组件。在 CLI 中,身份映射规则是使用 ipa certmaprule-add 命令创建的。
- 映射规则
映射规则组件将(或 映射)证书与一个或多个用户帐户相关联。规则定义了一个 LDAP 搜索过滤器,用于将证书与预期用户帐户相关联。
由不同证书颁发机构(CA)发布的证书可能具有不同的属性,可能在不同的域中使用。因此,IdM 不会以无条件的方式应用映射规则,而是只应用于适当的证书。适当的证书是使用 匹配规则 定义的。
请注意,如果您将映射规则选项留空,则会在
userCertificate属性中搜索证书作为编码的二进制文件。在 CLI 中使用
--maprule选项定义映射规则。- 匹配规则
匹配的规则组件选择您要应用映射规则的证书。默认匹配规则与带有
digitalSignature key使用和clientAuth extended key使用的证书匹配。使用
--matchrule选项在 CLI 中定义匹配的规则。- 域列表
域列表指定您希望 IdM 在处理身份映射规则时搜索用户的身份域。如果您未指定选项,IdM 将仅在 IdM 客户端所属的本地域中搜索用户。
使用
--domain选项在 CLI 中定义域。- 优先级
当多个规则适用于证书时,具有最高优先级的规则将具有优先权。所有其他规则将被忽略。
- 数字值越低,身份映射规则的优先级越高。例如,具有优先级 1 的规则的优先级高于优先级 2 的规则。
- 如果规则没有定义优先级值,它具有最低的优先级。
使用
--priority选项在 CLI 中定义映射规则优先级。
证书映射规则示例
要定义,使用 CLI,一个被称为 simple_rule 的证书映射规则,允许使用 EXAMPLE.ORG 机构的 Smart Card CA 签发的证书进行验证,只要该证书上的 Subject 与 IdM 中用户帐户中的 certmapdata 条目匹配:
# ipa certmaprule-add simple_rule --matchrule '<ISSUER>CN=Smart Card CA,O=EXAMPLE.ORG' --maprule '(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})'