diff options
| author | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
|---|---|---|
| committer | Daniel Baumann <daniel.baumann@progress-linux.org> | 2024-04-19 05:31:45 +0000 |
| commit | 74aa0bc6779af38018a03fd2cf4419fe85917904 (patch) | |
| tree | 9cb0681aac9a94a49c153d5823e7a55d1513d91f /src/man/es/sss-certmap.5.xml | |
| parent | Initial commit. (diff) | |
| download | sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.tar.xz sssd-74aa0bc6779af38018a03fd2cf4419fe85917904.zip | |
Adding upstream version 2.9.4.upstream/2.9.4
Signed-off-by: Daniel Baumann <daniel.baumann@progress-linux.org>
Diffstat (limited to 'src/man/es/sss-certmap.5.xml')
| -rw-r--r-- | src/man/es/sss-certmap.5.xml | 756 |
1 files changed, 756 insertions, 0 deletions
diff --git a/src/man/es/sss-certmap.5.xml b/src/man/es/sss-certmap.5.xml new file mode 100644 index 0000000..54a255d --- /dev/null +++ b/src/man/es/sss-certmap.5.xml @@ -0,0 +1,756 @@ +<?xml version="1.0" encoding="UTF-8"?> +<!DOCTYPE reference PUBLIC "-//OASIS//DTD DocBook V4.4//EN" +"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"> +<reference> +<title>Páginas de manual de SSSD</title> +<refentry> + <xi:include xmlns:xi="http://www.w3.org/2001/XInclude" href="include/upstream.xml" /> + + <refmeta> + <refentrytitle>sss-certmap</refentrytitle> + <manvolnum>5</manvolnum> + <refmiscinfo class="manual">Formatos de archivo y convenciones</refmiscinfo> + </refmeta> + + <refnamediv id='name'> + <refname>sss-certmap</refname> + <refpurpose>Reglas de Correspondencia y Asignación de Certificados SSSD</refpurpose> + </refnamediv> + + <refsect1 id='description'> + <title>DESCRIPCION</title> + <para> + La página de manual describe las reglas que pueden ser usadas por SSSD y +otros componentes para corresponder con los certificados X.509 y asignarlos +a cuentas. + </para> + <para> + Cada regla tiene cuatro componentes, una <quote>priority</quote>, una +<quote>matching rule</quote>, una <quote>mapping rule</quote> y una +<quote>domain list</quote>. Todos los componentes son opcionales. Si no hay +<quote>priority</quote> se añadirá la regla con el nivel de prioridad más +bajo. La <quote>matching rule</quote> predeterminada hará coincidir los +certificados con la clave de utilización digitalSignature y la clave de +utilización extendida clientAuth. Si <quote>mapping rule</quote> está vacía +los certificados serán buscados en el atributo userCertificate como DER +codificado en binario. Si no se dan dominios solo se buscará en el dominio +local. + </para> + <para> + To allow extensions or completely different style of rule the +<quote>mapping</quote> and <quote>matching rules</quote> can contain a +prefix separated with a ':' from the main part of the rule. The prefix may +only contain upper-case ASCII letters and numbers. If the prefix is omitted +the default type will be used which is 'KRB5' for the matching rules and +'LDAP' for the mapping rules. + </para> + <para> + The 'sssctl' utility provides the 'cert-eval-rule' command to check if a +given certificate matches a matching rules and how the output of a mapping +rule would look like. + </para> + </refsect1> + + <refsect1 id='components'> + <title>COMPONENTES DE LA REGLA</title> + <refsect2 id='priority'> + <title>PRIORIDAD</title> + <para> + Las reglas son procesados por prioridad sabiendo que el número '0' (cero) +indica la prioridad más alta. Más alto en número más baja la prioridad. Un +valor desaparecido indica la prioridad más baja. Las reglas de procesamiento +se para cuando una regla coincidente y no se comprueban más reglas. + </para> + <para> + Internamente la prioridad se trata como un entero no firmado de 32 bitr, la +utilización de in valor de prioridad superior a 4294967295 causará un error. + </para> + <para> + If multiple rules have the same priority and only one of the related +matching rules applies, this rule will be chosen. If there are multiple +rules with the same priority which matches, one is chosen but which one is +undefined. To avoid this undefined behavior either use different priorities +or make the matching rules more specific e.g. by using distinct +<ISSUER> patterns. + </para> + </refsect2> + <refsect2 id='match'> + <title>REGLA DE COINCIDENCIA</title> + <para> + La regla de coincidencia se usa para seleccionar un certificado al que sería +aplicado la regla de asignación. Usa un sistema similar al usado por la +opción <quote>pkinit_cert_match</quote> de MIT Kerberos. Consiste en una +clave encerrada entre '<' y '>' ue identifica una cierta parte del +certificado y un patrón para que la regla coincida. Se pueden unir varios +pares de palabras claves con '&&' (y) o '||' (o). + </para> + <para> + Given the similarity to MIT Kerberos the type prefix for this rule is +'KRB5'. But 'KRB5' will also be the default for <quote>matching +rules</quote> so that "<SUBJECT>.*,DC=MY,DC=DOMAIN" and +"KRB5:<SUBJECT>.*,DC=MY,DC=DOMAIN" are equivalent. + </para> + <para> + Las opciones disponibles son: <variablelist> + <varlistentry> + <term><SUBJECT>regular-expression</term> + <listitem> + <para> + Con esto una parte o todo el nombre de sujeto del certificado pueden +coincidir. Para la coincidencia se usa la sintaxis Expresión Regular +Extendida POSIX, vea detalles en regex(7). + </para> + <para> + Para coincidir el nombre sujeto almacenado en el certificado en codificación +DER ASN.1 se convierte en una cadena de acuerdo a RFC 4514. Esto significa +que el componente de nombre más específico es el primero. Por favor advierta +que no todos los posibles nombres de atributo están cubiertos por RFC +4514. Los nombres incluidos son 'CN', 'L', 'ST', 'O', 'OU', 'C', 'STREET', +'DC' y 'UID'. Otros nombres de atributo pueden ser mostrados de forma +diferente sobre plataformas distintas y por herramientas diferentes. Para +evitar la confusión es mejor que no se usen estos nombres de atributos o se +cubran por una expresión regular a medida. + </para> + <para> + Ejemplo: <SUBJECT>.*,DC=MY,DC=DOMAIN + </para> + <para> + Please note that the characters "^.[$()|*+?{\" have a special meaning in +regular expressions and must be escaped with the help of the '\' character +so that they are matched as ordinary characters. + </para> + <para> + Example: <SUBJECT>^CN=.* \(Admin\),DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><ISSUER>regular-expression</term> + <listitem> + <para> + Con esto, se puede hacer coincidir una parte o el nombre completo del emisor +del certificado. Todos los comentarios para <SUBJECT> se le aplican +también. + </para> + <para> + Ejemplo: <ISSUER>^CN=My-CA,DC=MY,DC=DOMAIN$ + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><KU>key-usage</term> + <listitem> + <para> + Esta opción se puede usar para especificar que valores de uso clave debe +tener el certificado. Se pueden usar los siguientes valores en una lista +separados por comas: + <itemizedlist> + <listitem><para>digitalSignature</para></listitem> + <listitem><para>nonRepudiation</para></listitem> + <listitem><para>keyEncipherment</para></listitem> + <listitem><para>dataEncipherment</para></listitem> + <listitem><para>keyAgreement</para></listitem> + <listitem><para>keyCertSign</para></listitem> + <listitem><para>cRLSign</para></listitem> + <listitem><para>encipherOnly</para></listitem> + <listitem><para>decipherOnly</para></listitem> + </itemizedlist> + </para> + <para> + Un valor numérico en el rango de un entero sin signo de 32 bit se puede usar +también para cubrir casos de uso especiales. + </para> + <para> + Ejemplo: <KU>digitalSignature,keyEncipherment + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><EKU>extended-key-usage</term> + <listitem> + <para> + Esta opción se puede usar para especificar que uso de clave extendida puede +tener el certificado. El siguiente valor se puede usar en una lista separada +por comas: + <itemizedlist> + <listitem><para>serverAuth</para></listitem> + <listitem><para>clientAuth</para></listitem> + <listitem><para>codeSigning</para></listitem> + <listitem><para>emailProtection</para></listitem> + <listitem><para>timeStamping</para></listitem> + <listitem><para>OCSPSigning</para></listitem> + <listitem><para>KPClientAuth</para></listitem> + <listitem><para>pkinit</para></listitem> + <listitem><para>msScLogin</para></listitem> + </itemizedlist> + </para> + <para> + La utilización de claves extendidas que no están listadas arriba pueden ser +especificadas con sus OID en anotación decimal con puntos. + </para> + <para> + Ejemplo: <EKU>clientAuth,1.3.6.1.5.2.3.4 + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN>regular-expression</term> + <listitem> + <para> + Para ser compatible con la utilización de MIT Kerberos esta opción +coincidirá con los principios de Kerberos en PKINIT o AD NT Principal SAN +como hace <SAN:Principal>. + </para> + <para> + Ejemplo: <SAN>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:Principal>regular-expression</term> + <listitem> + <para> + Haga coincidir los principios principales de Kerberos en la SAN principal de +PKINIT o AD NT. + </para> + <para> + Example: <SAN:Principal>.*@MY\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ntPrincipalName>regular-expression</term> + <listitem> + <para> + Haga coincidir los principales de Kerberos de la SAN principal de AD NT. + </para> + <para> + Example: <SAN:ntPrincipalName>.*@MY.AD.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:pkinit>regular-expression</term> + <listitem> + <para> + Haga coincidir los principales de Kerberos con los PKINIT SAN. + </para> + <para> + Example: <SAN:ntPrincipalName>.*@MY\.PKINIT\.REALM + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dotted-decimal-oid>regular-expression</term> + <listitem> + <para> + Toma el valor del componente SAN otherName dado por el de OID en anotación +decimal con puntos, lo interpreta como una cadena e intenta hacerlo +coincidir con la expresión regular. + </para> + <para> + Example: <SAN:1.2.3.4>test + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:otherName>base64-string</term> + <listitem> + <para> + Haga una coincidencia binaria con el blob codificado en base64 con todos los +demás componentes SAN otheName. Con esta opción es posible la coincidencia +con los componentes otherName personales con codificación especial que +podrían no ser tratados como cadenas. + </para> + <para> + Example: <SAN:otherName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:rfc822Name>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del rfc822Name SAN. + </para> + <para> + Example: <SAN:rfc822Name>.*@email\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:dNSName>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del dNSName SAN. + </para> + <para> + Example: <SAN:dNSName>.*\.my\.dns\.domain + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:x400Address>base64-string</term> + <listitem> + <para> + Binario coincide con el valor del x400Address SAN. + </para> + <para> + Example: <SAN:x400Address>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:directoryName>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del directoryName SAN. Los mismos comentarios dados +para <ISSUER> and <SUBJECT> se aplican aquí también. + </para> + <para> + Example: <SAN:directoryName>.*,DC=com + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:ediPartyName>base64-string</term> + <listitem> + <para> + Hacer coincidir binario el valor del ediPartyName SAN. + </para> + <para> + Ejemplo: <SAN:ediPartyName>MTIz + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:uniformResourceIdentifier>regular-expression</term> + <listitem> + <para> + Hacer coincidir el valor del uniformResourceIdentifier SAN. + </para> + <para> + Ejemplo: <SAN:uniformResourceIdentifier>URN:.* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:iPAddress>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor del iPAddress SAN. + </para> + <para> + Ejemplo: <SAN:iPAddress>192\.168\..* + </para> + </listitem> + </varlistentry> + <varlistentry> + <term><SAN:registeredID>regular-expression</term> + <listitem> + <para> + Haga coincidir el valor de registeredID SAN como cadena decimal con puntos. + </para> + <para> + Ejemplo: <SAN:registeredID>1\.2\.3\..* + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect2> + <refsect2 id='map'> + <title>REGLA DE MAPEO</title> + <para> + La regla de mapeo se usa para asociar un certificado con una o mas +cuentas. Una Smartcard con el certificado y la clave privada correspondiente +puede ser usada entonces para autenticar una de estas cuentas. + </para> + <para> + Actualmente SSSD básicamente solo soporta LDAP para buscar información de +usuario (la excepción es el proveedor proxy que no tiene relevancia +aqui). Por esto la regla de mapeo se basa en una búsqueda por filtro de +sintaxis LDAP con plantillas para añadir el contenido del certificado al +filtro. Se espra que ese filtro solo contendrá los datos específicos para el +mapeo y que la persona que llama lo incrustará en otro filtro para hacer la +búsqueda real. Debido a esto la cadena de filtro de empezar y terminar con +'('and')' respectivamente. + </para> + <para> + En general se recomienda usar atributos del certificado y añadirlos a +atributos especiales al objeto usuario LDAP. E.g. el atributo +'altSecurityIdentities' en AD o el atributo 'ipaCertMapData' para IPA se +pueden usar. + </para> + <para> + Debería preferible leer datos específicos del usuario del certificado, +e.g. una dirección de correo electrónico y buscarla en el servidor LDAP. La +razón es que los datos específicos del usuario en el LDAP podrían cambiar +por diversas razones y romper el mapeo. Por otro lado, sería difícil romper +el mapeo a propósito para un usuario específico. + </para> + <para> + The default <quote>mapping rule</quote> type is 'LDAP' which can be added as +a prefix to a rule like e.g. +'LDAP:(userCertificate;binary={cert!bin})'. There is an extension called +'LDAPU1' which offer more templates for more flexibility. To allow older +versions of this library to ignore the extension the prefix 'LDAPU1' must be +used when using the new templates in a <quote>mapping rule</quote> otherwise +the old version of this library will fail with a parsing error. The new +templates are described in section <xref linkend="map_ldapu1"/>. + </para> + <para> + La plantilla para añadir datos de certificado al filtro de búsqueda están +basados sobre cadenas formateadas en estilo Python. Consiste en una palabra +clave entre llaves con un subcomponente especificador opcional separado por +un '.' o una opción opcional de conversión/formateo separada por un '!'. Los +valores permitidos son: <variablelist> + <varlistentry> + <term>{issuer_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla agregará el DN del emisor completo convertido en una +plantilla de acuerdo con el RFC 4514. Si se ordena X.500 (más especifico RDN +viene el último) se debería usar un opción con el prefijo '_x500'. + </para> + <para> + Las opciones de conversión que empiezan con 'ad_' usarán nombres de +atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. + </para> + <para> + Las opciones de conversión que empiezan por 'nss_' usarán nombres de +atributos como los usados por NSS. + </para> + <para> + La opción de conversión predeterminada es 'nss', i.e. los nombres de +atributo de acuerdo con la ordenación NSS y LDAP/RFC 4514. + </para> + <para> + Ejemplo: +(ipacertmapdata=X509:<I>{issuer_dn!ad}<S>{subject_dn!ad}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dn[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla añadirá el sujeto completo DN convertido en una cadena de +acuerdo a RFC 4514. Si la ordenación X.500 (más específico RDN viene el +último) se usaría una opción con el prefijo '_x500'. + </para> + <para> + Las opciones de conversión que empiezan con 'ad_' usarán nombres de +atributos como los usados por AD, p. ej. 'S' en lugar de 'ST'. + </para> + <para> + Las opciones de conversión que empiezan por 'nss_' usarán nombres de +atributos como los usados por NSS. + </para> + <para> + La opción de conversión predeterminada es 'nss', i.e. los nombres de +atributo de acuerdo con la ordenación NSS y LDAP/RFC 4514. + </para> + <para> + Ejemplo: +(ipacertmapdata=X509:<I>{issuer_dn!nss_x500}<S>{subject_dn!nss_x500}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{cert[!(bin|base64)]}</term> + <listitem> + <para> + Esta plantilla añadirá el certificado completo codificado DER como una +cadena al filtro de búsqueda. Dependiendo de la opción de conversión el +certificado binario se convierte en una secuencia hexadecimal escapada '\xx' +o base64. La secuencia hexadecimal escapada es la predeterminada y puede, +por ejemplo, ser usada con el atributo LDAP 'userCertificate;binary'. + </para> + <para> + Ejemplo: (userCertificate;binary={cert!bin}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos bien desde el SAN usado por +pkinit o del usado por AD. El componente 'short_name' representa la primera +parte del principal antes del signo '@'. + </para> + <para> + Ejemplo: +(|(userPrincipal={subject_principal})(samAccountName={subject_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_pkinit_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado +por pkinit. El componente 'short_name' representa la primera parte del +principal antes del signo '@'. + </para> + <para> + Ejemplo: +(|(userPrincipal={subject_pkinit_principal})(uid={subject_pkinit_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_nt_principal[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá el principal Kerberos que es dado por el SAN usado +por AD. El componente 'short_name' represebta la primera parte del principal +antes del signo '@'. + </para> + <para> + Example: +(|(userPrincipalName={subject_nt_principal})(samAccountName={subject_nt_principal.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_rfc822_name[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +rfc822Name del SAN, normalmente una dirección de correo electrónico. El +componente 'short_name' representa la primera parte de la dirección antes +del signo '@'. + </para> + <para> + Ejemplo: +(|(mail={subject_rfc822_name})(uid={subject_rfc822_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_dns_name[.short_name]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +dNSName del SAN, normalmente un nombre de host totalmente cualificado. El +componente 'short_name' representa la primera parte del nombre antes del +primer signo '.'. + </para> + <para> + Ejemplo: (|(fqdn={subject_dns_name})(host={subject_dns_name.short_name})) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_uri}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +uniformResourceIdentifier del SAN. + </para> + <para> + Ejemplo: (uri={subject_uri}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ip_address}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena que está almacenada en el componente +iPAddress del SAN. + </para> + <para> + Ejemplo: (ip={subject_ip_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_x400_address}</term> + <listitem> + <para> + Esta plantilla añadirá el valor que está almacenado en el componente +x400Address del SAN como secuencia hexadecimal escapada. + </para> + <para> + Ejemplo: (attr:binary={subject_x400_address}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_directory_name[!((ad|ad_x500)|ad_ldap|nss_x500|(nss|nss_ldap))]}</term> + <listitem> + <para> + Esta plantilla añadirá la cadena DN del valor que está almacenado en el +componente directoryName del SAN. + </para> + <para> + Ejemplo: (orig_dn={subject_directory_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_ediparty_name}</term> + <listitem> + <para> + Esta plantilla añadirá el valor que está almacenado en el componente +ediPartyName del SAN como secuencia hexadecimal escapada. + </para> + <para> + Ejemplo: (attr:binary={subject_ediparty_name}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{subject_registered_id}</term> + <listitem> + <para> + Esta plantilla añadirá la OID que está almacenada en el componente +registeredID del SAN como una cadena decimal con puntos.. + </para> + <para> + Ejemplo: (oid={subject_registered_id}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + <refsect3 id='map_ldapu1'> + <title>LDAPU1 extension</title> + <para> + The following template are available when using the 'LDAPU1' extension: + </para> + <para> + <variablelist> + <varlistentry> + <term>{serial_number[!(dec|hex[_ucr])]}</term> + <listitem> + <para> + This template will add the serial number of the certificate. By default it +will be printed as a hexadecimal number with lower-case letters. + </para> + <para> + With the formatting option '!dec' the number will be printed as decimal +string. The hexadecimal output can be printed with upper-case letters +('!hex_u'), with a colon separating the hexadecimal bytes ('!hex_c') or with +the hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can +be combined so that e.g. '!hex_uc' will produce a colon-separated +hexadecimal string with upper-case letters. + </para> + <para> + Example: LDAPU1:(serial={serial_number}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_key_id[!hex[_ucr]]}</term> + <listitem> + <para> + This template will add the subject key id of the certificate. By default it +will be printed as a hexadecimal number with lower-case letters. + </para> + <para> + The hexadecimal output can be printed with upper-case letters ('!hex_u'), +with a colon separating the hexadecimal bytes ('!hex_c') or with the +hexadecimal bytes in reverse order ('!hex_r'). The postfix letters can be +combined so that e.g. '!hex_uc' will produce a colon-separated hexadecimal +string with upper-case letters. + </para> + <para> + Example: LDAPU1:(ski={subject_key_id}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{cert[!DIGEST[_ucr]]}</term> + <listitem> + <para> + This template will add the hexadecimal digest/hash of the certificate where +DIGEST must be replaced with the name of a digest/hash function supported by +OpenSSL, e.g. 'sha512'. + </para> + <para> + The hexadecimal output can be printed with upper-case letters ('!sha512_u'), +with a colon separating the hexadecimal bytes ('!sha512_c') or with the +hexadecimal bytes in reverse order ('!sha512_r'). The postfix letters can be +combined so that e.g. '!sha512_uc' will produce a colon-separated +hexadecimal string with upper-case letters. + </para> + <para> + Example: LDAPU1:(dgst={cert!sha256}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{subject_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + This template will add an attribute value of a component of the subject DN, +by default the value of the most specific component. + </para> + <para> + A different component can it either selected by attribute name, +e.g. {subject_dn_component.uid} or by position, +e.g. {subject_dn_component.[2]} where positive numbers start counting from +the most specific component and negative numbers start counting from the +least specific component. Attribute name and the position can be combined as +e.g. {subject_dn_component.uid[2]} which means that the name of the second +component must be 'uid'. + </para> + <para> + Example: LDAPU1:(uid={subject_dn_component.uid}) + </para> + </listitem> + </varlistentry> + + <varlistentry> + <term>{issuer_dn_component[(.attr_name|[number]]}</term> + <listitem> + <para> + This template will add an attribute value of a component of the issuer DN, +by default the value of the most specific component. + </para> + <para> + See 'subject_dn_component' for details about the attribute name and position +specifiers. + </para> + <para> + Example: +LDAPU1:(domain={issuer_dn_component.[-2]}.{issuer_dn_component.dc[-1]}) + </para> + </listitem> + </varlistentry> + <varlistentry> + <term>{sid[.rid]}</term> + <listitem> + <para> + This template will add the SID if the corresponding extension introduced by +Microsoft with the OID 1.3.6.1.4.1.311.25.2 is available. With the '.rid' +selector only the last component, i.e. the RID, will be added. + </para> + <para> + Example: LDAPU1:(objectsid={sid}) + </para> + </listitem> + </varlistentry> + </variablelist> + </para> + </refsect3> + </refsect2> + <refsect2 id='domains'> + <title>LISTA DE DOMINIO</title> + <para> + Si la lista de dominio no está vacía los usuarios mapeados a un certificado +dado no serán buscados solo en el dominio local sino también en los dominios +listados siempre que sean conocidos por SSSD. Los dominios no conocidos por +SSSD serán ignorados. + </para> + </refsect2> + </refsect1> +</refentry> +</reference> |