Χρήση έξυπνης κάρτας στο Mac

Η προεπιλεγμένη μέθοδος χρήσης έξυπνων καρτών σε υπολογιστές Mac είναι η ζευγοποίηση μιας έξυπνης κάρτας με έναν τοπικό λογαριασμό χρήστη. Αυτή η μέθοδος εφαρμόζεται αυτόματα όταν ένας χρήστης εισαγάγει την κάρτα του στη συσκευή ανάγνωσης καρτών που είναι συνδεδεμένη σε έναν υπολογιστή. Ζητείται από τον χρήστη να «ζευγοποιήσει» την κάρτα με τον λογαριασμό του και απαιτείται πρόσβαση διαχειριστή για την εκτέλεση αυτής της ενέργειας (λόγω της αποθήκευσης πληροφοριών ζευγοποίησης στον τοπικό λογαριασμό καταλόγου του χρήστη). Αυτή η μέθοδος ονομάζεται ζευγοποίηση τοπικού λογαριασμού. Αν ο χρήστης δεν ζευγοποιήσει την κάρτα όταν του ζητηθεί, θα μπορεί να χρησιμοποιήσει την κάρτα για πρόσβαση σε ιστότοπους αλλά δεν θα είναι δυνατό να πραγματοποιήσει είσοδο στον λογαριασμό χρήστη του με την έξυπνη κάρτα. Οι έξυπνες κάρτες μπορούν επίσης να χρησιμοποιηθούν με μια υπηρεσία καταλόγου. Για να χρησιμοποιήσετε την έξυπνη κάρτα για είσοδο, πρέπει είτε να τη ζευγοποιήσετε είτε να τη διαμορφώσετε ώστε να λειτουργεί με μια υπηρεσία καταλόγου.

Ζευγοποίηση τοπικού λογαριασμού

Τα παρακάτω βήματα περιγράφουν τη διαδικασία ζευγοποίησης τοπικού λογαριασμού:

Εισαγάγετε μια έξυπνη κάρτα PIV ή μια συσκευή-διακριτικό που περιλαμβάνει ταυτότητα ελέγχου και κρυπτογράφησης.
Επιλέξτε «Ζευγοποίηση» στο πλαίσιο διαλόγου γνωστοποίησης.
Εισαγάγετε τα διαπιστευτήρια λογαριασμού διαχειριστή (όνομα χρήστη και συνθηματικό).
Εισαγάγετε τον τετραψήφιο ή εξαψήφιο προσωπικό αριθμό ταυτοποίησης (PIN) για την έξυπνη κάρτα που έχετε εισαγάγει.
Πραγματοποιήστε έξοδο και χρησιμοποιήστε την έξυπνη κάρτα και το PIN για εκ νέου είσοδο.

Η ζευγοποίηση τοπικού λογαριασμού μπορεί επίσης να γίνει με τη γραμμή εντολών και έναν υπάρχοντα λογαριασμό. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα Διαμόρφωση Mac για έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας.

Αντιστοίχιση χαρακτηριστικών με το Active Directory

Ο έλεγχος ταυτότητας των έξυπνων καρτών έναντι του Active Directory μπορεί επίσης να πραγματοποιηθεί με χρήση της αντιστοίχισης χαρακτηριστικών. Για αυτήν τη μέθοδο, πρέπει να υπάρχει ένα σύστημα συνδεδεμένο με το Active Directory και να διαμορφωθούν κατάλληλα αντιστοιχισμένα πεδία στο αρχείο /private/etc/SmartcardLogin.plist. Για να λειτουργεί σωστά, αυτό το αρχείο πρέπει να έχει δικαιώματα ανάγνωσης από όλους. Τα ακόλουθα πεδία στο πιστοποιητικό ελέγχου ταυτότητας PIV μπορούν να χρησιμοποιηθούν για την αντιστοίχιση χαρακτηριστικών σε αντίστοιχες τιμές στον λογαριασμό καταλόγου:

Common Name
RFC 822 Name (διεύθυνση email)
Πρωτεύον όνομα NT
Οργανισμός
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Χώρα

Είναι επίσης δυνατό να συνενωθούν πολλά πεδία για να παραχθεί μια αντίστοιχη τιμή στον κατάλογο.

Για να μπορέσει ο χρήστης να επωφεληθεί από αυτήν τη δυνατότητα, το Mac τους πρέπει να διαμορφωθεί με την κατάλληλη αντιστοίχιση χαρακτηριστικών και πρέπει επίσης να απενεργοποιηθεί η διεπαφή χρήστη τοπικής ζευγοποίησης. Για να ολοκληρώσει αυτήν την εργασία, ένας χρήστης πρέπει να έχει δικαιώματα τοπικού διαχειριστή.

Για να απενεργοποιήσετε το πλαίσιο διαλόγου τοπικής ζευγοποίησης, ανοίξτε την εφαρμογή «Τερματικό» και πληκτρολογήστε το εξής:

sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO

Στη συνέχεια, ο χρήστης μπορεί να εισαγάγει το συνθηματικό του όταν του ζητηθεί.

Όταν ολοκληρωθεί η διαμόρφωση του Mac, ο χρήστης πρέπει απλώς να εισαγάγει μια έξυπνη κάρτα ή ένα διακριτικό για να δημιουργήσει έναν νέο λογαριασμό χρήστη. Θα εμφανιστεί μήνυμα που θα ζητά από τον χρήστη να εισαγάγει το PIN του και να δημιουργήσει ένα μοναδικό συνθηματικό κλειδοθήκης που περιτυλίγεται από το κλειδί κρυπτογράφησης στην έξυπνη κάρτα. Οι λογαριασμοί μπορούν να διαμορφωθούν για λογαριασμούς χρηστών δικτύου ή φορητούς λογαριασμούς χρηστών.

Σημείωση: Η παρουσία του αρχείου /private/etc/SmartcardLogin.plist έχει προτεραιότητα έναντι ζευγοποιημένων τοπικών λογαριασμών.

Παράδειγμα λογαριασμού χρήστη δικτύου με αντιστοίχιση χαρακτηριστικών

Από κάτω παρουσιάζεται ένα παράδειγμα αρχείου SmartcardLogin.plist, όπου η αντιστοίχιση συσχετίζει τα πεδία Common Name και RFC 822 στο πιστοποιητικό ελέγχου ταυτότητας PIV ώστε να ταιριάζουν με το χαρακτηριστικό logName στο Active Directory:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>fields</key>          <array>                <string>Common Name</string>                <string>RFC 822 Name</string>          </array>          <key>formatString</key>          <string>$1</string>          <key>dsAttributeString</key>          <string>dsAttrTypeNative:longName</string>     </dict></dict></plist>

Παράδειγμα φορητού λογαριασμού χρήστη με αντιστοίχιση χαρακτηριστικών

Κατά τη σύνδεση με το Active Directory, επιλέξτε την προτίμηση «Δημιουργία φορητού λογαριασμού κατά την είσοδο» για να επιτρέπονται οι φορητοί λογαριασμοί για είσοδο εκτός σύνδεσης. Αυτή η δυνατότητα για χρήστες φορητών λογαριασμών υποστηρίζεται στην αντιστοίχιση χαρακτηριστικών Kerberos και διαμορφώνεται στο αρχείο Smartcardlogin.plist. Αυτή η διαμόρφωση είναι επίσης χρήσιμη σε περιβάλλοντα όπου δεν είναι πάντοτε δυνατή η επικοινωνία μεταξύ του Mac και του διακομιστή καταλόγου. Ωστόσο, η αρχική διαμόρφωση λογαριασμού απαιτεί δέσμευση του μηχανήματος και πρόσβαση στον διακομιστή καταλόγου.

Σημείωση: Αν χρησιμοποιείτε λογαριασμούς κινητής τηλεφωνίας, την πρώτη φορά που δημιουργείται ένας λογαριασμός, η αρχική είσοδος πρέπει να χρησιμοποιεί το συσχετισμένο συνθηματικό του λογαριασμού. Αυτή η διαδικασία διασφαλίζει ότι αποκτάται ένα ασφαλές διακριτικό, ώστε οι περαιτέρω είσοδοι να μπορούν να ξεκλειδώσουν το FileVault. Μετά την αρχική είσοδο βάσει συνθηματικού, μπορεί να χρησιμοποιηθεί έλεγχος ταυτότητας μόνο με έξυπνη κάρτα.

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>fields</key>          <array>                <string>NT Principal Name</string>          </array>          <key>formatString</key>          <string>Kerberos:$1</string>          <key>dsAttributeString</key>          <string>dsAttrTypeStandard:AltSecurityIdentities</string>     </dict></dict></plist>

Ενεργοποίηση της προφύλαξης οθόνης μετά από αφαίρεση διακριτικού

Η προφύλαξη οθόνης μπορεί να διαμορφωθεί ώστε να ξεκινά αυτόματα όταν ο χρήστης αφαιρεί το διακριτικό του. Αυτή η επιλογή εμφανίζεται μόνο μετά τη ζευγοποίηση μιας έξυπνης κάρτας. Υπάρχουν δύο κύριοι τρόποι για να το κάνετε αυτό:

Στις ρυθμίσεις Απορρήτου και ασφάλειας στο Mac, χρησιμοποιήστε το κουμπί «Προηγμένα» και επιλέξτε «Ενεργοποίηση προφύλαξης οθόνης όταν αφαιρείται το διακριτικό εισόδου». Βεβαιωθείτε ότι έχουν διαμορφωθεί οι ρυθμίσεις προφύλαξης οθόνης και μετά επιλέξτε «Απαίτηση συνθηματικού αμέσως μετά από κατάσταση ύπνου ή έναρξη προφύλαξης οθόνης».
Σε μια λύση MDM (Διαχείριση φορητών συσκευών), χρησιμοποιήστε το κλειδί tokenRemovalAction.

Δείτε επίσηςΕισαγωγή στην ενσωμάτωση έξυπνων καρτών Ρυθμίσεις φορτίου MDM «Πιστοποιητικά» για συσκευές Apple Ρυθμίσεις φορτίου MDM «Έξυπνη κάρτα» για συσκευές Apple

Χρήσιμο;

Ανάπτυξη πλατφόρμας Apple