Utilizarea unui smart card pe Mac
Metoda implicită de utilizare a smart cardului pe computerele Mac este de a asocia un smart card la un cont de utilizator local; această metodă se realizează automat când utilizatorul își introduce cardul într-un cititor de card atașat la computer. Utilizatorului i se solicită să “asocieze” cardul cu contul său și necesită acces de administrator pentru a realiza această acțiune (din cauza faptului că informațiile de asociere sunt stocate în contul de director local al utilizatorului). Această metodă se numește asociere a contului local. Dacă utilizatorul nu asociază cardul atunci când i se solicită acest lucru, acesta poate utiliza în continuare cardul pentru a accesa site-uri web, dar nu poate efectua login la contul de utilizator cu smart cardul. Smart cardurile pot fi utilizate și cu un serviciu de directoare. Pentru a utiliza un smart card pentru a efectua login, acesta trebuie fie asociat, fie configurat pentru a funcționa cu un serviciu de directoare.
Asocierea contului local
Pașii de mai jos descriu procesul de asociere a contului local:
Introduceți un smart card PIV sau token hardware care include identitățile de autentificare și criptare.
Selectați “Asociază” în dialogul notificării.
Furnizați acreditările contului de administrator (nume de utilizator/parolă).
Furnizați numărul de identificare personală (PIN) format din 4-6 cifre pentru smart cardul introdus.
Efectuați logout și utilizați smart cardul și PIN-ul pentru a efectua login din nou.
Asocierea contului local poate fi realizată și prin linie de comandă și un cont existent. Pentru mai multe informații, consultați Configurarea unui Mac pentru autentificarea exclusiv prin smart card.
Maparea atributului cu Active Directory
Smart cardurile pot fi autentificate în Active Directory utilizându-se maparea atributului. Această metodă implică deținerea unui sistem asociat Active Directory și configurarea câmpurilor corespunzătoare în fișierul /private/etc/SmartcardLogin.plist. Pentru a funcționa corect, acest fișier necesită permisiuni cu citire internațională. Următoarele câmpuri din certificatul de autentificare PIV pot fi utilizate pentru a mapa atributele la valorile corespunzătoare din contul de director:
Common Name
RFC 822 Name (email address)
NT Principal Name
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
De asemenea, pot fi concatenate mai multe câmpuri pentru a produce o valoare corespunzătoare în director.
Pentru ca utilizatorul să profite de această funcționalitate, Mac-ul său trebuie configurat cu maparea de atribut corespunzător și trebuie dezactivată interfața de asociere cu utilizatorul locală. Utilizatorul trebuie să aibă permisiuni de administrator local pentru a finaliza această acțiune.
Pentru a dezactiva dialogul de asociere locală, deschideți aplicația Terminal, apoi tastați:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Apoi utilizatorul își poate introduce parola când i se solicită.
De îndată ce Mac-ul este configurat, utilizatorul trebuie doar să introducă un smart card sau un token pentru a crea un nou cont de utilizator. Acestuia i se solicită să introducă PIN-ul și să creeze o parolă unică de portchei care este împachetată de cheia de criptare din smart card. Conturile pot fi configurate pentru conturi de utilizatori în rețea sau conturi mobile de utilizator.
Notă: Prezența fișierului /private/etc/SmartcardLogin.plist are prioritate în fața conturilor locale asociate.
Exemplu de cont de utilizator în rețea cu mapare de atribut
Mai jos este un exemplu de fișier SmartcardLogin.plist, în care maparea corelează numele comun și numele RFC 822 din certificatul de autentificare PIV pentru a corespunde atributului longName din Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Exemplu de cont mobil de utilizator cu mapare de atribut
Când se asociază la Active Directory, selectați preferința “Creează un cont mobil la login” pentru a permite conturi mobile pentru login offline. Această funcționalitate de utilizator mobil este compatibilă cu maparea atributelor Kerberos și este configurată în fișierul Smartcardlogin.plist. Această configurare este utilă și în medii în care Mac-ul poate fi uneori incapabil să acceseze serverele de director. Cu toate acestea, configurarea contului inițial necesită asocierea la computer și acces la serverul de director.
Notă: Dacă utilizați conturi mobile, la prima creare a unui cont, loginul inițial trebuie să utilizeze parola asociată a contului. Acest proces asigură obținerea unui Secure Token pentru ca loginurile ulterioare să poată debloca FileVault. După loginul inițial bazat pe parolă, poate fi folosită autentificarea exclusiv cu smart card.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Activarea screensaverului în momentul îndepărtării tokenului
Screensaverul poate fi configurat să pornească automat atunci când un utilizator îndepărtează tokenul. Această opțiune apare doar după ce a fost asociat un smart card. Există două moduri principale în care puteți realiza acest lucru:
În configurările Intimitate și securitate de pe Mac, utilizați butonul Avansat și selectați “Activează screensaver când tokenul de login este eliminat”. Asigurați-vă că sunt configurate opțiunile screensaverului, apoi selectați "Parolă obligatorie imediat după activarea modului adormire sau a screensaverului".
Într-o soluție de gestionare a dispozitivelor mobile (MDM), utilizați cheia
tokenRemovalAction.