Bruk et smartkort på Mac
Standardmetoden for bruk av smartkort på Macer er å sammenkoble et smartkort til en lokal brukerkonto - denne metoden foregår automatisk når en bruker setter kortet inn i en kortleser som er koblet til en datamaskinen. Brukeren blir spurt om å «sammenkoble» kortet med kontoen, og krever administratortilgang til å utføre denne oppgaven (fordi sammenkoblingsinformasjon lagres i brukerens lokale katalogkonto). Denne metoden kalles lokal kontosammenkobling. Hvis en bruker ikke sammenkobler kortet når de blir bedt om det, kan brukeren fortsatt bruke kortet for å få tilgang til nettsteder, men kan ikke logge på brukerkontoen sin med smartkortet. Smartkort kan også brukes med en katalogtjeneste. Hvis smartkortet skal brukes til pålogging, må det enten sammenkobles eller konfigureres til å fungere med en katalogtjeneste.
Sammenkobling av lokal konto
Trinnene nedenfor beskriver prosessen for sammenkobling av lokal konto:
Sett inn et PIV-smartkort eller en sikkerhetsbrikke som inkluderer autentiserings- og krypteringsidentiteter.
Velg «Sammenkoble» i dialogruten.
Oppgi akkreditiver for administratorkonto (brukernavn/passord).
Oppgi det fire- til sekssifrede personlige identifikasjonsnummeret (PIN) til smartkortet som er satt inn.
Logg av, og bruk smartkortet og PIN-koden til å logge på igjen.
Sammenkobling av lokal konto kan også gjennomføres med kommandolinjen og en eksisterende konto. Du finner mer informasjon om dette under Konfigurer en Mac for autentisering kun med smartkort.
Attributtilordning med Active Directory
Smartkort kan autentiseres mot Active Directory ved hjelp av attributtilordning. Denne metoden innebærer å ha et Active Directory-bundet system og angi riktig matchende felt i filen /private/etc/SmartcardLogin.plist. Filen må ha tillatelser for global lesbarhet for å fungere slik den skal. De følgende feltene i PIV-autentiseringssertifikatet kan brukes til å kartlegge attributter til tilhørende verdier i katalogkontoen:
Common Name
RFC 822 Name (email address)
NT Principal Name
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
Flere felt kan også måtte settes sammen for å skape en matchende verdi i katalogen.
Før brukeren kan benytte denne funksjonen, må Macen konfigureres med den riktige attributtilordningen, og det lokale sammenkoblingsgrensesnittet må slås av. En bruker må lokale administratorrettigheter for å fullføre denne oppgaven.
For å slå av dialogen for lokal sammenkobling åpner du Terminal-programmet og skriver:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Brukeren kan deretter skrive inn passordet når de blir bedt om det.
Så snart Macen er konfigurert, kan brukeren sette inn et smartkort eller kjennetegn for å opprette en ny brukerkonto. De blir bedt om å oppgi PIN-koden og opprette et unikt nøkkelringpassord som er pakket inn av krypteringsnøkkelen i smartkortet. Kontoer kan konfigureres for nettverksbrukerkontoer eller mobile brukerkontoer.
Merk: Tilstedeværelsen av /private/etc/SmartcardLogin.plist-filen har forrang over sammenkoblede lokale kontoer.
Nettverksbrukerkonto med eksempel på attributtilordning
Under er en SmartcardLogin.plist-fil der tilordning sammenligner Common Name og RFC 822 Name på PIV-autentiseringssertifikatet for å matche longName-attributten i Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Mobil brukerkonto med eksempel på attributtilordning
Hvis du velger «Opprett en mobil konto ved pålogging»-valget ved binding til Active Directory, kan du opprette mobile kontoer for frakoblet pålogging. Denne funksjonen for mobil bruker støttes med Kerberos-attributtilordningen og konfigureres i Smartcardlogin.plist-filen. Denne konfigurasjonen er også nyttig i miljøer der en Mac ikke alltid kan nå katalogtjener. Første kontooppsett krever imidlertid maskinbinding og tilgang til katalogtjeneren.
Merk: Hvis du bruker mobilkontoer, og første gang det opprettes en, må den første påloggingen bruke passordet som er knyttet til kontoen. Denne prosessen sørger for at et sikkert kjennetegn hentes, slik at senere innlogginger kan låse opp FileVault. Etter den første innloggingen med passord kan autentisering kun med smartkort brukes.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Aktiver skjermsparer ved fjerning av kjennetegn
Skjermspareren kan konfigureres til å starte automatisk når en bruker fjerner kjennetegnet. Dette valget vises kun når et smartkort er sammenkoblet. Det finnes to måter å gjøre dette på:
I Personvern og sikkerhet-innstillingene på Macen klikker du på Avansert-knappen og velger «Aktiver skjermspareren når påloggingsbevis fjernes». Forsikre deg om at skjermsparerinnstilingene er konfigurert, og velg «Krev passord umiddelbart etter aktivering av dvale eller skjermsparer».
I en MDM-løsning ved å bruke
tokenRemovalAction-nøkkelen.