SSS-CERTMAP(5) Formatos de archivo y convenci SSS-CERTMAP(5) NAME sss-certmap - Reglas de Correspondencia y Asignacion de Certificados SSSD DESCRIPCION La pagina de manual describe las reglas que pueden ser usadas por SSSD y otros componentes para corresponder con los certificados X.509 y asignarlos a cuentas. Cada regla tiene cuatro componentes, una "priority", una "matching rule", una "mapping rule" y una "domain list". Todos los componentes son opcionales. Si no hay "priority" se anadira la regla con el nivel de prioridad mas bajo. La "matching rule" predeterminada hara coincidir los certificados con la clave de utilizacion digitalSignature y la clave de utilizacion extendida clientAuth. Si "mapping rule" esta vacia los certificados seran buscados en el atributo userCertificate como DER codificado en binario. Si no se dan dominios solo se buscara en el dominio local. To allow extensions or completely different style of rule the "mapping" and "matching rules" can contain a prefix separated with a ':' from the main part of the rule. The prefix may only contain upper-case ASCII letters and numbers. If the prefix is omitted the default type will be used which is 'KRB5' for the matching rules and 'LDAP' for the mapping rules. The 'sssctl' utility provides the 'cert-eval-rule' command to check if a given certificate matches a matching rules and how the output of a mapping rule would look like. COMPONENTES DE LA REGLA PRIORIDAD Las reglas son procesados por prioridad sabiendo que el numero '0' (cero) indica la prioridad mas alta. Mas alto en numero mas baja la prioridad. Un valor desaparecido indica la prioridad mas baja. Las reglas de procesamiento se para cuando una regla coincidente y no se comprueban mas reglas. Internamente la prioridad se trata como un entero no firmado de 32 bitr, la utilizacion de in valor de prioridad superior a 4294967295 causara un error. If multiple rules have the same priority and only one of the related matching rules applies, this rule will be chosen. If there are multiple rules with the same priority which matches, one is chosen but which one is undefined. To avoid this undefined behavior either use different priorities or make the matching rules more specific e.g. by using distinct patterns. REGLA DE COINCIDENCIA La regla de coincidencia se usa para seleccionar un certificado al que seria aplicado la regla de asignacion. Usa un sistema similar al usado por la opcion "pkinit_cert_match" de MIT Kerberos. Consiste en una clave encerrada entre '<' y '>' ue identifica una cierta parte del certificado y un patron para que la regla coincida. Se pueden unir varios pares de palabras claves con '&&' (y) o '||' (o). Given the similarity to MIT Kerberos the type prefix for this rule is 'KRB5'. But 'KRB5' will also be the default for "matching rules" so that ".*,DC=MY,DC=DOMAIN" and "KRB5:.*,DC=MY,DC=DOMAIN" are equivalent. Las opciones disponibles son: regular-expression Con esto una parte o todo el nombre de sujeto del certificado pueden coincidir. Para la coincidencia se usa la sintaxis Expresion Regular Extendida POSIX, vea detalles en regex(7). Para coincidir el nombre sujeto almacenado en el certificado en codificacion DER ASN.1 se convierte en una cadena de acuerdo a RFC 4514. Esto significa que el componente de nombre mas especifico es el primero. Por favor advierta que no todos los posibles nombres de atributo estan cubiertos por RFC 4514. Los nombres incluidos son 'CN', 'L', 'ST', 'O', 'OU', 'C', 'STREET', 'DC' y 'UID'. Otros nombres de atributo pueden ser mostrados de forma diferente sobre plataformas distintas y por herramientas diferentes. Para evitar la confusion es mejor que no se usen estos nombres de atributos o se cubran por una expresion regular a medida. Ejemplo: .*,DC=MY,DC=DOMAIN Please note that the characters "^.[$()|*+?{\" have a special meaning in regular expressions and must be escaped with the help of the '\' character so that they are matched as ordinary characters. Example: ^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ regular-expression Con esto, se puede hacer coincidir una parte o el nombre completo del emisor del certificado. Todos los comentarios para se le aplican tambien. Ejemplo: ^CN=My-CA,DC=MY,DC=DOMAIN$ key-usage Esta opcion se puede usar para especificar que valores de uso clave debe tener el certificado. Se pueden usar los siguientes valores en una lista separados por comas: o digitalSignature o nonRepudiation o keyEncipherment o dataEncipherment o keyAgreement o keyCertSign o cRLSign o encipherOnly o decipherOnly Un valor numerico en el rango de un entero sin signo de 32 bit se puede usar tambien para cubrir casos de uso especiales. Ejemplo: digitalSignature,keyEncipherment extended-key-usage Esta opcion se puede usar para especificar que uso de clave extendida puede tener el certificado. El siguiente valor se puede usar en una lista separada por comas: o serverAuth o clientAuth o codeSigning o emailProtection o timeStamping o OCSPSigning o KPClientAuth o pkinit o msScLogin La utilizacion de claves extendidas que no estan listadas arriba pueden ser especificadas con sus OID en anotacion decimal con puntos. Ejemplo: clientAuth,1.3.6.1.5.2.3.4 regular-expression Para ser compatible con la utilizacion de MIT Kerberos esta opcion coincidira con los principios de Kerberos en PKINIT o AD NT Principal SAN como hace . Ejemplo: .*@MY\.REALM regular-expression Haga coincidir los principios principales de Kerberos en la SAN principal de PKINIT o AD NT. Example: .*@MY\.REALM regular-expression Haga coincidir los principales de Kerberos de la SAN principal de AD NT. Example: .*@MY.AD.REALM regular-expression Haga coincidir los principales de Kerberos con los PKINIT SAN. Example: .*@MY\.PKINIT\.REALM regular-expression Toma el valor del componente SAN otherName dado por el de OID en anotacion decimal con puntos, lo interpreta como una cadena e intenta hacerlo coincidir con la expresion regular. Example: test base64-string Haga una coincidencia binaria con el blob codificado en base64 con todos los demas componentes SAN otheName. Con esta opcion es posible la coincidencia con los componentes otherName personales con codificacion especial que podrian no ser tratados como cadenas. Example: MTIz regular-expression Haga coincidir el valor del rfc822Name SAN. Example: .*@email\.domain regular-expression Haga coincidir el valor del dNSName SAN. Example: .*\.my\.dns\.domain base64-string Binario coincide con el valor del x400Address SAN. Example: MTIz regular-expression Haga coincidir el valor del directoryName SAN. Los mismos comentarios dados para and se aplican aqui tambien. Example: .*,DC=com base64-string Hacer coincidir binario el valor del ediPartyName SAN. Ejemplo: MTIz regular-expression Hacer coincidir el valor del uniformResourceIdentifier SAN. Ejemplo: URN:.* regular-expression Haga coincidir el valor del iPAddress SAN. Ejemplo: 192\.168\..* regular-expression Haga coincidir el valor de registeredID SAN como cadena decimal con puntos. Ejemplo: 1\.2\.3\..* REGLA DE MAPEO La regla de mapeo se usa para asociar un certificado con una o mas cuentas. Una Smartcard con el certificado y la clave privada correspondiente puede ser usada entonces para autenticar una de estas cuentas. Actualmente SSSD basicamente solo soporta LDAP para buscar informacion de usuario (la excepcion es el proveedor proxy que no tiene relevancia aqui). Por esto la regla de mapeo se basa en una busqueda por filtro de sintaxis LDAP con plantillas para anadir el contenido del certificado al filtro. Se espra que ese filtro solo contendra los datos especificos para el mapeo y que la persona que llama lo incrustara en otro filtro para hacer la busqueda real. Debido a esto la cadena de filtro de empezar y terminar con '('and')' respectivamente. En general se recomienda usar atributos del certificado y anadirlos a atributos especiales al objeto usuario LDAP. E.g. el atributo 'altSecurityIdentities' en AD o el atributo 'ipaCertMapData' para IPA se pueden usar. Deberia preferible leer datos especificos del usuario del certificado, e.g. una direccion de correo electronico y buscarla en el servidor LDAP. La razon es que los datos especificos del usuario en el LDAP podrian cambiar por diversas razones y romper el mapeo. Por otro lado, seria dificil romper el mapeo a proposito para un usuario especifico. The default "mapping rule" type is 'LDAP' which can be added as a prefix to a rule like e.g. 'LDAP:(userCertificate;binary={cert!bin})'. There is an extension called 'LDAPU1' which offer more templates for more flexibility. To allow older versions of this library to ignore the extension the prefix 'LDAPU1' must be used when using the new templates in a "mapping rule" otherwise the old version of this library will fail with a parsing error. The new templates are described in section the section called "LDAPU1 extension". La plantilla para anadir datos de certificado al filtro de busqueda estan basados sobre cadenas formateadas en estilo Python. Consiste en una palabra clave entre llaves con un subcomponente especificador opcional separado por un '.' o una opcion opcional de conversion/formateo separada por un '!'. Los valores permitidos son: {issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} Esta plantilla agregara el DN del emisor completo convertido en una plantilla de acuerdo con el RFC 4514. Si se ordena X.500 (mas especifico RDN viene el ultimo) se deberia usar un opcion con el prefijo '_x500'. Las opciones de conversion que empiezan con 'ad_' usaran nombres de atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. Las opciones de conversion que empiezan por 'nss_' usaran nombres de atributos como los usados por NSS. La opcion de conversion predeterminada es 'nss', i.e. los nombres de atributo de acuerdo con la ordenacion NSS y LDAP/RFC 4514. Ejemplo: (ipacertmapdata=X509:{issuer_dn!ad}{subject_dn!ad}) {subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} Esta plantilla anadira el sujeto completo DN convertido en una cadena de acuerdo a RFC 4514. Si la ordenacion X.500 (mas especifico RDN viene el ultimo) se usaria una opcion con el prefijo '_x500'. Las opciones de conversion que empiezan con 'ad_' usaran nombres de atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. Las opciones de conversion que empiezan por 'nss_' usaran nombres de atributos como los usados por NSS. La opcion de conversion predeterminada es 'nss', i.e. los nombres de atributo de acuerdo con la ordenacion NSS y LDAP/RFC 4514. Ejemplo: (ipacertmapdata=X509:{issuer_dn!nss_x500}{subject_dn!nss_x500}) {cert[!(bin|base64)]} Esta plantilla anadira el certificado completo codificado DER como una cadena al filtro de busqueda. Dependiendo de la opcion de conversion el certificado binario se convierte en una secuencia hexadecimal escapada '\xx' o base64. La secuencia hexadecimal escapada es la predeterminada y puede, por ejemplo, ser usada con el atributo LDAP 'userCertificate;binary'. Ejemplo: (userCertificate;binary={cert!bin}) {subject_principal[.short_name]} Esta plantilla anadira el principal Kerberos bien desde el SAN usado por pkinit o del usado por AD. El componente 'short_name' representa la primera parte del principal antes del signo '@'. Ejemplo: (|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) {subject_pkinit_principal[.short_name]} Esta plantilla anadira el principal Kerberos que es dado por el SAN usado por pkinit. El componente 'short_name' representa la primera parte del principal antes del signo '@'. Ejemplo: (|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) {subject_nt_principal[.short_name]} Esta plantilla anadira el principal Kerberos que es dado por el SAN usado por AD. El componente 'short_name' represebta la primera parte del principal antes del signo '@'. Example: (|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) {subject_rfc822_name[.short_name]} Esta plantilla anadira la cadena que esta almacenada en el componente rfc822Name del SAN, normalmente una direccion de correo electronico. El componente 'short_name' representa la primera parte de la direccion antes del signo '@'. Ejemplo: (|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) {subject_dns_name[.short_name]} Esta plantilla anadira la cadena que esta almacenada en el componente dNSName del SAN, normalmente un nombre de host totalmente cualificado. El componente 'short_name' representa la primera parte del nombre antes del primer signo '.'. Ejemplo: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) {subject_uri} Esta plantilla anadira la cadena que esta almacenada en el componente uniformResourceIdentifier del SAN. Ejemplo: (uri={subject_uri}) {subject_ip_address} Esta plantilla anadira la cadena que esta almacenada en el componente iPAddress del SAN. Ejemplo: (ip={subject_ip_address}) {subject_x400_address} Esta plantilla anadira el valor que esta almacenado en el componente x400Address del SAN como secuencia hexadecimal escapada. Ejemplo: (attr:binary={subject_x400_address}) {subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]} Esta plantilla anadira la cadena DN del valor que esta almacenado en el componente directoryName del SAN. Ejemplo: (orig_dn={subject_directory_name}) {subject_ediparty_name} Esta plantilla anadira el valor que esta almacenado en el componente ediPartyName del SAN como secuencia hexadecimal escapada. Ejemplo: (attr:binary={subject_ediparty_name}) {subject_registered_id} Esta plantilla anadira la OID que esta almacenada en el componente registeredID del SAN como una cadena decimal con puntos.. Ejemplo: (oid={subject_registered_id}) LDAPU1 extension The following template are available when using the 'LDAPU1' extension: {serial_number[!(dec|hex[_ucr])]} This template will add the serial number of the certificate. By default it will be printed as a hexadecimal number with lower-case letters. With the formatting option '!dec' the number will be printed as decimal string. The hexadecimal output can be printed with upper-case letters ('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal string with upper-case letters. Example: LDAPU1:(serial={serial_number}) {subject_key_id[!hex[_ucr]]} This template will add the subject key id of the certificate. By default it will be printed as a hexadecimal number with lower-case letters. The hexadecimal output can be printed with upper-case letters ('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal string with upper-case letters. Example: LDAPU1:(ski={subject_key_id}) {cert[!DIGEST[_ucr]]} This template will add the hexadecimal digest/hash of the certificate where DIGEST must be replaced with the name of a digest/hash function supported by OpenSSL, e.g. 'sha512'. The hexadecimal output can be printed with upper-case letters ('!sha512_u'), with a colon separating the hexadecimal bytes ('!sha512_c') or with the hexadecimal bytes in reverse order ('!sha512_r'). The postfix letters can be combined so that e.g. '!sha512_uc' will produce a colon-separated hexadecimal string with upper-case letters. Example: LDAPU1:(dgst={cert!sha256}) {subject_dn_component[(.attr_name|[number]]} This template will add an attribute value of a component of the subject DN, by default the value of the most specific component. A different component can it either selected by attribute name, e.g. {subject_dn_component.uid} or by position, e.g. {subject_dn_component.[2]} where positive numbers start counting from the most specific component and negative numbers start counting from the least specific component. Attribute name and the position can be combined as e.g. {subject_dn_component.uid[2]} which means that the name of the second component must be 'uid'. Example: LDAPU1:(uid={subject_dn_component.uid}) {issuer_dn_component[(.attr_name|[number]]} This template will add an attribute value of a component of the issuer DN, by default the value of the most specific component. See 'subject_dn_component' for details about the attribute name and position specifiers. Example: LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) {sid[.rid]} This template will add the SID if the corresponding extension introduced by Microsoft with the OID 1.3.6.1.4.1.311.25.2 is available. With the '.rid' selector only the last component, i.e. the RID, will be added. Example: LDAPU1:(objectsid={sid}) LISTA DE DOMINIO Si la lista de dominio no esta vacia los usuarios mapeados a un certificado dado no seran buscados solo en el dominio local sino tambien en los dominios listados siempre que sean conocidos por SSSD. Los dominios no conocidos por SSSD seran ignorados. AUTHORS The SSSD upstream - https://github.com/SSSD/sssd/ SSSD 04/09/2024 SSS-CERTMAP(5)