2. EL 8
  3. libsss_certmap
  4. sss-certmap(5)

Scroll to navigation

SSS-CERTMAP(5) Форматы файлов и рекомендации SSS-CERTMAP(5)

NAME

sss-certmap - Правила установления соответствия и сопоставления сертификатов SSSD

ОПИСАНИЕ

На этой справочной странице приводится описание правил, которые могут использоваться SSSD и другими компонентами для установления соответствия сертификатов X.509 и их сопоставления с учётными записями.

Каждое правило содержит четыре компонента, “приоритет”, “правило установления соответствия”, “правило сопоставления” и “список доменов”. Все компоненты являются необязательными. Если отсутствует “приоритет”, будет добавлено правило с самым низким приоритетом. Стандартное “правило установления соответствия” устанавливает соответствие сертификатов с использованием ключа digitalSignature и расширенным использованием ключа clientAuth. Если “правило сопоставления” не указано, в атрибуте userCertificate будет выполняться поиск сертификатов как двоичных файлов в кодировке DER. Если не указаны домены, поиск будет выполняться только в локальном домене.

To allow extensions or completely different style of rule the “mapping” and “matching rules” can contain a prefix separated with a ':' from the main part of the rule. The prefix may only contain upper-case ASCII letters and numbers. If the prefix is omitted the default type will be used which is 'KRB5' for the matching rules and 'LDAP' for the mapping rules.

The 'sssctl' utility provides the 'cert-eval-rule' command to check if a given certificate matches a matching rules and how the output of a mapping rule would look like.

КОМПОНЕНТЫ ПРАВИЛА

ПРИОРИТЕТ

Правила обрабатываются в порядке приоритета. Ноль «0» означает наивысший приоритет. Чем больше число, тем выше приоритет. Отсутствие значения означает самый низкий приоритет. Обработка правил останавливается при обнаружении соответствующего условиям правила, и никакие другие правила уже не проверяются.

На внутреннем уровне приоритет обрабатывается как беззнаковое 32-битное целое. Использование значения приоритета, превышающего 4294967295, приведёт к ошибке.

Если несколько правил имеют одинаковый приоритет, но только одно соответствует связанным правилам установления соответствия, будет выбрано это правило. Если имеется несколько правил с одинаковым приоритетом, которые соответствуют, будет выбрано одно из них, но не будет определено, какое именно. Чтобы предотвратить такое неопределённое поведение, следует либо задать разный приоритет, либо сделать правила установления соответствия более чёткими (например, с помощью разных шаблонов <ISSUER>).

ПРАВИЛО УСТАНОВЛЕНИЯ СООТВЕТСТВИЯ

Правило установления соответствия используется для выбора сертификата, к которому следует применить правило сопоставления. В нём используется система, похожую на ту, которая используется в параметре “pkinit_cert_match” MIT Kerberos. Правило состоит из ключевого слова, расположенного между «<» и «>», которое идентифицирует определённую часть сертификата, и шаблона, который должен быть найден для установления соответствия правила. Несколько пар «ключевое слово — шаблон» можно соединить с помощью логического оператора «&&» (и) или «||» (или).

Given the similarity to MIT Kerberos the type prefix for this rule is 'KRB5'. But 'KRB5' will also be the default for “matching rules” so that "<SUBJECT>.*,DC=MY,DC=DOMAIN" and "KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN" are equivalent.

Доступные параметры:

<SUBJECT>регулярное_выражение

Это правило позволяет установить соответствие части или всего имени субъекта сертификата. Для установления соответствия используется синтаксис расширенных регулярных выражений POSIX. Подробное описание синтаксиса доступно на справочной странице regex(7).

Для установления соответствия имени субъекта, которое хранится в сертификате в кодировке DER, ASN.1 преобразуется в строку в соответствии с RFC 4514. Это означает, что сначала идёт наиболее специфичный компонент имени. Обратите внимание, что в стандарте RFC 4514 перечислены не все возможные имени атрибутов. В него включены имена «CN», «L», «ST», «O», «OU», «C», «STREET», «DC» и «UID». Другие имена атрибутов могут отображаться по-разному на различных платформах и с помощью различных инструментов. Чтобы избежать путаницы, рекомендуется не использовать такие имена и не покрывать их соответствующим регулярным выражением.

Пример: <SUBJECT>.*,DC=MY,DC=DOMAIN

Обратите внимание, что символы «^.[$()|*+?{\» имеют специальное значение в регулярных выражениях, поэтому их необходимо экранировать с помощью символа «\», чтобы программа воспринимала их как обычные символы.

Пример: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$

<ISSUER>регулярное_выражение

Это правило позволяет установить соответствие части или всего имени издателя сертификата. Этого параметра касаются те же комментарии, которые были указаны для <SUBJECT>.

Пример: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$

<KU>использование_ключа

С помощью этого параметра можно указать, какие значения использования ключа должен иметь сертификат. В разделённом запятыми списке можно указать следующие значения:

•digitalSignature

•nonRepudiation

•keyEncipherment

•dataEncipherment

•keyAgreement

•keyCertSign

•cRLSign

•encipherOnly

•decipherOnly

Для покрытия особых вариантов использования также можно использовать значение в диапазоне 32-битного беззнакового целого.

Пример: <KU>digitalSignature,keyEncipherment

<EKU>расширенное_использование_ключа

С помощью этого параметра можно указать, какие значения расширенного использования ключа должен иметь сертификат. В разделённом запятыми списке можно указать следующие значения:

•serverAuth

•clientAuth

•codeSigning

•emailProtection

•timeStamping

•OCSPSigning

•KPClientAuth

•pkinit

•msScLogin

Расширенные использования ключа, которые не входят в представленный выше список, можно указать по их OID в десятичной записи.

Пример: <EKU>clientAuth,1.3.6.1.5.2.3.4

<SAN>регулярное_выражение

Для обеспечения совместимости с использованием MIT Kerberos этот параметр будет устанавливать соответствие участников Kerberos в SAN PKINIT или SAN AD NT Principal так, как это делает <SAN:Principal>.

Пример: <SAN>.*@MY\.REALM

<SAN:Principal>регулярное_выражение

Установить соответствие участников Kerberos в SAN PKINIT или SAN AD NT Principal.

Пример: <SAN:Principal>.*@MY\.REALM

<SAN:ntPrincipalName>регулярное_выражение

Установить соответствие участников Kerberos в SAN AD NT Principal.

Пример: <SAN:ntPrincipalName>.*@MY.AD.REALM

<SAN:pkinit>регулярное_выражение

Установить соответствие участников Kerberos в SAN PKINIT.

Пример: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM

<SAN:dotted-decimal-oid>регулярное_выражение

Взять значение компонента otherName SAN, указанное с помощью OID в десятичном формате, интерпретировать его как строку и попытаться установить его соответствие регулярному выражению.

Пример: <SAN:1.2.3.4>test

<SAN:otherName>строка_base64

Выполнить установление двоичного соответствия blob-объекта в кодировке base64 всем компонентам otherName SAN. С помощью этого параметра возможно устанавливать соответствие пользовательским компонентам otherName в особых кодировках, которые не могут обрабатываться как строки.

Пример: <SAN:otherName>MTIz

<SAN:rfc822Name>регулярное_выражение

Установить соответствие значения SAN rfc822Name.

Пример: <SAN:rfc822Name>.*@email\.domain

<SAN:dNSName>регулярное_выражение

Установить соответствие значения SAN dNSName.

Пример: <SAN:dNSName>.*\.my\.dns\.domain

<SAN:x400Address>строка_base64

Установить двоичное соответствие значения SAN x400Address.

Пример: <SAN:x400Address>MTIz

<SAN:directoryName>регулярное_выражение

Установить соответствие значения SAN directoryName. Этого параметра касаются те же комментарии, которые были указаны для <ISSUER> и <SUBJECT>.

Пример: <SAN:directoryName>.*,DC=com

<SAN:ediPartyName>строка_base64

Установить двоичное соответствие значения SAN ediPartyName.

Пример: <SAN:ediPartyName>MTIz

<SAN:uniformResourceIdentifier>регулярное_выражение

Установить соответствие значения SAN uniformResourceIdentifier.

Пример: <SAN:uniformResourceIdentifier>URN:.*

<SAN:iPAddress>регулярное_выражение

Установить соответствие значения SAN iPAddress.

Пример: <SAN:iPAddress>192\.168\..*

<SAN:registeredID>регулярное_выражение

Установить соответствие значения SAN registeredID в виде десятичной строки.

Пример: <SAN:registeredID>1\.2\.3\..*

ПРАВИЛО СОПОСТАВЛЕНИЯ

Правило сопоставления используется для связывания сертификата с одной или несколькими учётными записями. После этого для прохождения проверки подлинности в качестве одной из этих учётных записей будет можно использовать смарт-карту с сертификатом и соответствующим закрытым ключом.

В настоящее время SSSD поддерживает поиск данных пользователей в основном только в LDAP (исключение — поставщик данных прокси, что несущественно в данном контексте). Поэтому правило сопоставления основано на синтаксисе фильтра поиска LDAP с шаблонами для добавления содержимого сертификата в фильтр. Ожидается, что фильтр будет содержать только определённые данные, необходимые для сопоставления, и что вызывающая сторона внедрит их в другой фильтр для выполнения фактического поиска. Поэтому строка фильтра должна, соответственно, начинаться символом «(» и заканчиваться символом «)».

В целом, рекомендуется использовать атрибуты из сертификата и добавлять их к специальным атрибутам объекта пользователя LDAP. Например, можно использовать атрибут «altSecurityIdentities» в AD или атрибут «ipaCertMapData» для IPA.

Это предпочтительнее чтения относящихся к пользователю данных из сертификата (например, адреса электронной почты) и поиска этих данных на сервере LDAP. Дело в том, что относящиеся к пользователю данные в LDAP могут меняться по ряду причин, и это приведёт к ошибке сопоставления. С другой стороны, сложно специально вызвать ошибку сопоставления для определённого пользователя.

The default “mapping rule” type is 'LDAP' which can be added as a prefix to a rule like e.g. 'LDAP:(userCertificate;binary={cert!bin})'. There is an extension called 'LDAPU1' which offer more templates for more flexibility. To allow older versions of this library to ignore the extension the prefix 'LDAPU1' must be used when using the new templates in a “mapping rule” otherwise the old version of this library will fail with a parsing error. The new templates are described in section the section called “LDAPU1 extension”.

Шаблоны для добавления данных сертификата в фильтр поиска основаны на строках форматирования в стиле Python. Они состоят из ключевого слова в фигурных скобках с необязательным указателем подкомпонента, который отделён знаком «.», или необязательным параметром преобразования/форматирования, который отделён знаком «!». Допустимые значения:

{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}

Этот шаблон добавит полное DN издателя, преобразованное в строку в соответствии с RFC 4514. Для упорядочения X.500 (самое специфичное RDN в конце) следует использовать параметр с префиксом «_x500».

Параметры преобразования, которые начинаются с «ad_», используют имена атрибутов, используемые AD (например, «S» вместо «ST»).

Параметры преобразования, которые начинаются с «nss_», используют имена атрибутов, используемые NSS.

Стандартным вариантом преобразования является «nss», то есть имена атрибутов согласно NSS и упорядочение LDAP/RFC 4514.

Пример: (ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad})

{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}

Этот шаблон добавит полное DN субъекта, преобразованное в строку в соответствии с RFC 4514. Для упорядочения X.500 (самое специфичное RDN в конце) следует использовать параметр с префиксом «_x500».

Параметры преобразования, которые начинаются с «ad_», используют имена атрибутов, используемые AD (например, «S» вместо «ST»).

Параметры преобразования, которые начинаются с «nss_», используют имена атрибутов, используемые NSS.

Стандартным вариантом преобразования является «nss», то есть имена атрибутов согласно NSS и упорядочение LDAP/RFC 4514.

Пример: (ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500})

{cert[!(bin|base64)]}

Этот шаблон добавит в фильтр поиска весь сертификат в кодировке DER как строку. В зависимости от значения параметра преобразования двоичный сертификат будет преобразован либо в экранированную шестнадцатеричную последовательность «\xx», либо в код base64. Стандартным вариантом является экранированная шестнадцатеричная последовательность. Она может использоваться, например, с атрибутом LDAP «userCertificate;binary».

Пример: (userCertificate;binary={cert!bin})

{subject_principal[.short_name]}

Этот шаблон добавит участника Kerberos, взятого либо из SAN, используемого pkinit, либо из SAN, используемого AD. Компонент «short_name» представляет первую часть записи участника, до знака «@».

Пример: (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name}))

{subject_pkinit_principal[.short_name]}

Этот шаблон добавит участника Kerberos, который указан в SAN, используемом pkinit. Компонент «short_name» представляет первую часть записи участника, до знака «@».

Пример: (|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name}))

{subject_nt_principal[.short_name]}

Этот шаблон добавит участника Kerberos, который указан в SAN, используемом AD. Компонент «short_name» представляет первую часть записи участника, до знака «@».

Пример: (|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name}))

{subject_rfc822_name[.short_name]}

Этот шаблон добавит строку, которая хранится в компоненте rfc822Name SAN (обычно это адрес электронной почты). Компонент «short_name» представляет первую часть записи адреса, до знака «@».

Пример: (|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name}))

{subject_dns_name[.short_name]}

Этот шаблон добавит строку, которая хранится в компоненте dNSName SAN (обычно это полное имя узла) Компонент «short_name» представляет первую часть записи имени, до первого знака «.».

Пример: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name}))

{subject_uri}

Этот шаблон добавит строку, которая хранится в компоненте uniformResourceIdentifier SAN.

Пример: (uri={subject_uri})

{subject_ip_address}

Этот шаблон добавит строку, которая хранится в компоненте iPAddress SAN.

Пример: (ip={subject_ip_address})

{subject_x400_address}

Этот шаблон добавит значение, которое хранится в компоненте x400Address SAN как экранированная шестнадцатеричная последовательность.

Пример: (attr:binary={subject_x400_address})

{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}

Этот шаблон добавит строку DN значения, которое хранится в компоненте directoryName SAN.

Пример: (orig_dn={subject_directory_name})

{subject_ediparty_name}

Этот шаблон добавит значение, которое хранится в компоненте ediPartyName SAN как экранированная шестнадцатеричная последовательность.

Пример: (attr:binary={subject_ediparty_name})

{subject_registered_id}

Этот шаблон добавит OID, который хранится в компоненте registeredID SAN как десятичная строка.

Пример: (oid={subject_registered_id})

LDAPU1 extension

The following template are available when using the 'LDAPU1' extension:

{serial_number[!(dec|hex[_ucr])]}

This template will add the serial number of the certificate. By default it will be printed as a hexadecimal number with lower-case letters.

With the formatting option '!dec' the number will be printed as decimal string. The hexadecimal output can be printed with upper-case letters ('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal string with upper-case letters.

Example: LDAPU1:(serial={serial_number})

{subject_key_id[!hex[_ucr]]}

This template will add the subject key id of the certificate. By default it will be printed as a hexadecimal number with lower-case letters.

The hexadecimal output can be printed with upper-case letters ('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal string with upper-case letters.

Example: LDAPU1:(ski={subject_key_id})

{cert[!DIGEST[_ucr]]}

This template will add the hexadecimal digest/hash of the certificate where DIGEST must be replaced with the name of a digest/hash function supported by OpenSSL, e.g. 'sha512'.

The hexadecimal output can be printed with upper-case letters ('!sha512_u'), with a colon separating the hexadecimal bytes ('!sha512_c') or with the hexadecimal bytes in reverse order ('!sha512_r'). The postfix letters can be combined so that e.g. '!sha512_uc' will produce a colon-separated hexadecimal string with upper-case letters.

Example: LDAPU1:(dgst={cert!sha256})

{subject_dn_component[(.attr_name|[number]]}

This template will add an attribute value of a component of the subject DN, by default the value of the most specific component.

A different component can it either selected by attribute name, e.g. {subject_dn_component.uid} or by position, e.g. {subject_dn_component.[2]} where positive numbers start counting from the most specific component and negative numbers start counting from the least specific component. Attribute name and the position can be combined as e.g. {subject_dn_component.uid[2]} which means that the name of the second component must be 'uid'.

Example: LDAPU1:(uid={subject_dn_component.uid})

{issuer_dn_component[(.attr_name|[number]]}

This template will add an attribute value of a component of the issuer DN, by default the value of the most specific component.

See 'subject_dn_component' for details about the attribute name and position specifiers.

Example: LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]})

{sid[.rid]}

This template will add the SID if the corresponding extension introduced by Microsoft with the OID 1.3.6.1.4.1.311.25.2 is available. With the '.rid' selector only the last component, i.e. the RID, will be added.

Example: LDAPU1:(objectsid={sid})

СПИСОК ДОМЕНОВ

Когда список доменов не пуст, поиск пользователей, сопоставленных указанному сертификату, будет выполняться не только в локальном домене, но также и в перечисленных в списке доменах, если они известны SSSD. Домены, которые неизвестны SSSD, будут игнорироваться.

AUTHORS

Восходящий источник («апстрим») SSSD — https://github.com/SSSD/sssd/

04/11/2023 SSSD