Używanie karty inteligentnej na komputerach Mac
Domyślną metodą użycia karty inteligentnej na komputerach Mac jest łączenie w parę karty inteligentnej z lokalnym kontem użytkownika. Metoda ta następuje automatycznie, gdy użytkownik wkłada swoją kartę do czytnika kart podłączonego do komputera. Użytkownikowi jest wyświetlana prośba o połączenie w parę karty ze swoim kontem. Do wykonania tego zadania wymagany jest dostęp administratora (ze względu na przechowywanie informacji o łączeniu w parę na koncie użytkownika w katalogu lokalnym). Ta metoda nazywana jest łączenie w parę kont lokalnych. Jeśli użytkownik nie połączy karty w parę, gdy wyświetlana jest ta prośba, nadal może używać karty w celu uzyskiwania dostępu do witryn sieciowych, ale nie może za jej pomocą logować się na swoim koncie. Karty inteligentne mogą być również używane z usługą katalogową. Logowanie przy użyciu karty inteligentnej wymaga połączenia jej w parę z kontem lub skonfigurowania do pracy z usługą katalogową.
Łączenie w parę z kontem lokalnym
Proces łączenia w parę z kontem lokalnym przebiega w następujących krokach:
Włóż kartę inteligentną PIV lub token sprzętowy zawierające tożsamości uwierzytelniania i szyfrowania.
W wyświetlonym powiadomieniu wybierz opcję Paruj.
Wprowadź dane uwierzytelniania konta lokalnego z uprawnieniami administratora (nazwa użytkownika i hasło).
Wprowadź kod PIN włożonej karty inteligentnej (zawierający od 4 do 6 cyfr).
Wyloguj się, a następnie zaloguj się ponownie, używając karty inteligentnej oraz kodu PIN.
Łączenie w parę z kontem lokalnym może zostać również przeprowadzone przy użyciu wiersza poleceń oraz istniejącego konta. Aby uzyskać więcej informacji, zobacz: Konfigurowanie Maca pod kątem uwierzytelniania wyłącznie przy użyciu karty inteligentnej.
Odwzorowywanie atrybutów Active Directory
Karty inteligentne mogą być uwierzytelniane za pomocą Active Directory przy użyciu odwzorowywania atrybutów. Ta metoda wymaga posiadania systemu powiązanego z usługą Active Directory i ustawienia odpowiednich pasujących pól w pliku /private/etc/SmartcardLogin.plist. Prawidłowe działanie wymaga, aby plik ten był dostępny do odczytu dla wszystkich użytkowników. Następujące pola w certyfikacie uwierzytelniania PIV mogą służyć do mapowania atrybutów na odpowiadające im wartości na koncie katalogu:
Powszechna nazwa
Nazwa RFC 822 (adres e-mail)
Nazwa główna NT
Organizacja
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Kraj
W celu uzyskania pasującej wartości w katalogu można połączyć wiele pól.
Zanim użytkownik będzie mógł skorzystać z tej funkcji, jego komputer Mac musi zostać skonfigurowany pod kątem odpowiedniego odwzorowania atrybutów oraz musi zostać wyłączony interfejs lokalnego łączenia w parę. Aby wykonać to zadanie, użytkownik musi mieć uprawnienia administratora lokalnego.
Aby wyłączyć wyświetlanie okna dialogowego lokalnego łączenia w parę, otwórz aplikację Terminal, a następnie wpisz:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Po wyświetleniu monitu użytkownik może wprowadzić swoje hasło.
Gdy komputer Mac jest skonfigurowany, utworzenie nowego konta wymaga jedynie włożenia przez użytkownika karty inteligentnej lub tokenu. Użytkownik proszony jest następnie o wprowadzenie kodu PIN oraz utworzenie niepowtarzalnego hasła pęku kluczy, które jest opakowywane przy użyciu klucza szyfrowania zapewnianego przez kartę inteligentną. Tworzone konta mogą być konfigurowane jako konta użytkowników sieciowych lub jako konta przenośne.
Uwaga: Obecność pliku /private/etc/SmartcardLogin.plist jest nadrzędna w stosunku do połączonych w parę kont lokalnych.
Przykład konta użytkownika sieciowego z odwzorowaniem atrybutów
Poniżej znajduje się przykładowy plik SmartcardLogin.plist, w którym mapowanie przedstawia odwzorowanie łączące atrybuty Common Name (nazwa powszechna) oraz RFC 822 Name (nazwa RFC 822) w certyfikacie uwierzytelniania PIV w celu dopasowania atrybutu longName w usłudze Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Przykład przenośnego konta użytkownika z odwzorowaniem atrybutów
W przypadku dowiązania do Active Directory zaznaczenie pola wyboru Twórz konto przenośne podczas logowania umożliwia tworzenie kont przenośnych pozwalających na logowanie się bez połączenia z siecią. Funkcja ta jest obsługiwana przy użyciu odwzorowania atrybutów Kerberos i musi zostać skonfigurowana w pliku Smartcardlogin.plist. Konfiguracja ta jest również przydatna w sytuacjach, w których Mac nie zawsze może mieć dostęp do serwera katalogowego. Pierwsza konfiguracja konta wymaga jednak dowiązania urządzenia oraz dostępu do serwera katalogowego.
Uwaga: Jeśli używasz kont przenośnych, podczas pierwszego tworzenia takiego konta początkowe logowanie musi zostać przeprowadzone przy użyciu hasła powiązanego z danym kontem. Ten proces zapewnia uzyskanie tokenu bezpieczeństwa, co umożliwia odblokowywanie funkcji FileVault podczas kolejnych logowań. Po pierwszym zalogowaniu się przy użyciu hasła, kolejne logowania mogą być już przeprowadzane przy użyciu uwierzytelniania opartego tylko o kartę inteligentną.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Włączanie wygaszacza ekranu po usunięciu tokenu
Można skonfigurować automatyczne uruchamianie wygaszacza ekranu, gdy użytkownik usuwa token. Ta opcja jest widoczna tylko po połączeniu karty inteligentnej w parę. Istnieją dwa podstawowe sposoby wykonania tej czynności:
Otwórz panel ustawień Prywatność i ochrona na Macu, kliknij w przycisk Zaawansowane i włącz „Włączaj wygaszacz ekranu po usunięciu tokenu logowania”. Upewnij się, że skonfigurowane zostały ustawienia wygaszacza ekranu, a następnie zaznacz opcję „Wymagaj hasła natychmiast po uśpieniu lub włączeniu wygaszacza ekranu”.
Przy użyciu rozwiązania MDM: użyj klucza
tokenRemovalAction.