Macでスマートカードを使用する
Macコンピュータでスマートカードを使用するデフォルトの方法は、スマートカードをローカルユーザアカウントとペアリングする方法です。この方法は、ユーザが自分のカードをコンピュータに接続されているカードリーダに挿入すると自動的に実行されます。ユーザは、カードを自分のアカウントとペアリングするように求められ、このタスクを実行するには管理者のアクセス権が必要です(ペアリング情報がユーザのローカルディレクトリアカウントに保存されるため)。この方法は、ローカルアカウントペアリングと呼ばれます。求められたときにユーザがカードをペアリングしなかった場合、そのカードを使用してWebサイトにアクセスすることはできますが、スマートカードでユーザアカウントにログインすることはできません。スマートカードは、ディレクトリサービスで使用することもできます。スマートカードをログインに使用するには、ペアリングするか、またはディレクトリサービスで使用するように構成する必要があります。
ローカルアカウントペアリング
以下の手順は、ローカルアカウントペアリングのプロセスについて説明しています。
認証および暗号化の識別情報が含まれているPIVスマートカードまたはハードトークンを挿入します。
通知ダイアログで「ペアリング」を選択します。
管理者アカウントの資格情報(ユーザ名/パスワード)を入力します)。
挿入したスマートカードの4〜6桁の個人識別番号(PIN)を入力します。
ログアウトし、スマートカードとPINを使用して再度ログインします。
ローカルアカウントペアリングは、コマンドラインと既存アカウントを使用して実現することもできます。詳しくは、スマートカード認証を使えるようにMacを設定するを参照してください。
Active Directoryとの属性マッピング
スマートカードは、属性マッピングを使用してActive Directoryに対して認証を受けることができます。この方法では、Active Directoryにバインドされたシステムおよび設定に適切な一致フィールドがファイル「/private/etc/SmartcardLogin.plist」に必要です適切に動作するように、このファイルに全ユーザの読み取りアクセス権が必要です。PIV認証の証明書の以下のフィールドを使用して、属性をディレクトリアカウントの対応する値にマッピングできます:
通称
RFC 822名(メールアドレス)
NTプリンシパル名
組織
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
国
複数のフィールドを結合して、ディレクトリ内の一致する値を生成することもできます。
ユーザがこの機能を利用するには、自分のMacで適切な属性マッピングを構成し、ローカルのペアリングユーザインターフェイスをオフにする必要があります。このタスクを完了するには、ユーザに管理者権限が必要です。
ローカルのペアリングダイアログをオフにするには、次のように入力します:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
その後、求められたらユーザは自分のパスワードを入力できます。
Macが構成されるとすぐに、ユーザがスマートカードまたはトークンを挿入するだけで新しいユーザアカウントが作成されます。自分のPINを入力して一意のキーチェーンパスワードを作成するよう求められます。このキーチェーンパスワードは、スマートカード内の暗号化キーによってラップされます。アカウントは、ネットワークユーザアカウント用またはモバイルユーザアカウント用に構成できます。
注記: 「/private/etc/SmartcardLogin.plist」ファイルが存在することで、ペアリングされたローカルアカウントよりもこのファイルが優先されます。
ネットワークユーザアカウントと属性マッピングの例
マッピングによってPIV認証の証明書の「通称」と「RFC 822名」が関連付けられてActive Directoryの「longName」属性と一致しているSmartcardLogin.plistファイルの例を以下に示します:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>モバイルユーザアカウントと属性マッピングの例
Active Directoryにバインドしている場合、「ログイン時にモバイルアカウントを作成」環境設定を選択すると、オフラインログイン用にモバイルアカウントを作成できます。このモバイルユーザ機能は、Kerberos属性マッピングでサポートされ、Smartcardlogin.plistファイルで構成されます。この構成は、Macがディレクトリサーバに到達できないことがある環境でも便利です。ただし、初期アカウントの設定時に、コンピュータのバインドとディレクトリサーバへのアクセスが要求されます。
注記: モバイルアカウントを使用している場合は、初めて作成されて最初にログインするときに、そのアカウントに関連付けられているパスワードを使用する必要があります。このプロセスによりセキュアトークンが取得されることが保証されるので、以降のログインでFileVaultをロック解除できます。最初のパスワードベースログイン後は、スマートカードのみの認証を使用できます。
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>トークン取り外し時にスクリーンセーバを有効にする
ユーザがトークンを取り外したときに、自動的に開始するようスクリーンセーバを構成できます。このオプションは、スマートカードがペアリングされたあとにのみ表示されます。これを行うには以下の2つの主な方法があります:
Macの「プライバシーとセキュリティ」設定で、「詳細」ボタンを使用して、「ログイントークンが削除されたら、スクリーンセーバを開始」を選択します。スクリーンセーバの設定が構成されていることを確認してから、「スリープとスクリーンセーバの開始後すぐにパスワードを要求」を選択します。
MDM(モバイルデバイス管理)ソリューションで
tokenRemovalActionキーを使用します。