Використання смарт-картки на комп’ютері Mac
Типовий метод застосування смарт-картки в комп’ютерах Mac полягає у сполученні смарт-картки з локальним обліковим записом користувача. Цей метод застосовується автоматично, коли користувач вставляє картку в зчитувач, під’єднаний до комп’ютера. Користувачеві пропонується «сполучити» картку зі своїм обліковим записом, і для виконання цієї дії потрібен доступ адміністратора (оскільки інформація про сполучення зберігається в обліковому записі локального каталогу користувача). Цей метод називається спарюванням локального облікового запису. Якщо користувач не спарить картку на запит, її все одно можна буде використовувати для доступу до вебсайтів, але користувачу не вдасться авторизуватися за допомогою смарт-картки у своєму обліковому записі. Смарт-картки також можна використовувати зі службою каталогів. Щоб використовувати смарт-картку для входу, її необхідно спарити або конфігурувати для роботи зі службою каталогів.
Спарювання локального облікового запису
Нижче наведено етапи спарювання локального облікового запису.
Вставте смарт-картку PIV або апаратний токен з автентифікаційними та шифрувальними посвідченнями.
Виберіть «Спарити» в діалоговому сповіщенні.
Укажіть облікові дані адміністратора (ім’я та пароль).
Укажіть 4–6 значний персональний ідентифікаційний номер (PIN) для вставленої смарт-картки.
Вийдіть із системи та скористайтеся смарт-карткою й PIN-кодом, щоб знову ввійти.
Спарювання локального облікового запису можна виконати за допомогою командного рядка та наявного облікового запису. Докладну інформацію наведено в статті Конфігурування виключної автентифікації зі смарт-карткою на Mac.
Зіставлення атрибутів за допомогою Active Directory
Смарт-картки можна автентифікувати в Active Directory шляхом зіставлення атрибутів. Щоб скористатися цим методом, необхідно мати систему з прив’язаною службою Active Directory та вказати відповідні поля у файлі /private/etc/SmartcardLogin.plist. Для належної роботи файлу має бути призначено дозвіл «world readable». Наведені далі поля в сертифікаті автентифікації PIV можна використовувати для зіставлення атрибутів із відповідними значеннями в обліковому записі каталогу.
Common Name (Загальне ім’я)
Ім’я RFC 822 (електронна адреса)
NT Principal Name (Основне імʼя NT)
Організація
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Країна
Крім того, щоб створити відповідне значення в каталозі, можна об’єднати кілька полів.
Щоб користувач зміг скористатися перевагами цієї функції, на комп’ютері Mac слід конфігурувати зіставлення атрибутів і вимкнути користувацький інтерфейс локального парування. Для виконання цього завдання користувачу необхідні дозволи локального адміністратора.
Щоб вимкнути діалогове вікно локального парування, відкрийте програму Terminal (Термінал), а потім введіть
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Користувачу необхідно ввести пароль, коли його про це попросять.
Після конфігурування Mac користувачу потрібно лише вставити смарт-картку або токен, щоб створити новий обліковий запис користувача. Користувачу буде запропоновано ввести pin-код і створити унікальний пароль в’язки, який ізолюється ключем шифрування в смарт-картці. Облікові записи можуть бути мережевими або мобільними.
Примітка. Наявність файлу /private/etc/SmartcardLogin.plist має перевагу над спареними локальними записами.
Приклад мережевого облікового запису із зіставленням атрибутів
Нижче наведено приклад файлу SmartcardLogin.plist, у якому зіставлення корелює з Common Name (Загальне ім’я) та ім’ям RFC 822 в сертифікаті автентифікації PIV з атрибутом longName в Active Directory.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Приклад мобільного облікового запису із зіставленням атрибутів
Під час прив’язування до Active Directory виберіть «Створювати мобільний обліковий запис після входу в систему», щоб дозволити створення мобільних облікових записів для входу офлайн. Зіставлення атрибутів Kerberos підтримує цю функцію для мобільних записів. Її слід конфігурувати в Smartcardlogin.plist. Ця конфігурація також стає в пригоді в середовищах, де Mac не завжди може зв’язатися із сервером каталогів. Проте, початкове налаштування облікового запису потребує прив’язування комп’ютера й доступу до сервера каталогів.
Примітка. Якщо ви використовуєте мобільні облікові записи, під час першого створення такого запису для початкового входу потрібно використовувати пов’язаний пароль цього запису. Таким чином буде отримано токен безпеки, щоб під час наступних входів відмикалося сховище FileVault. Після початкового входу за допомогою паролю можна використовувати автентифікацію лише смарт-карткою.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Увімкнення екранного ефекту під час вилучення токена
Можна конфігурувати автоматичний запуск екранного ефекту, коли користувач вилучає свій токен. Ця опція з’являється лише після створення пари зі смарт-карткою. Це можна зробити двома основними способами:
У параметрах «Приватність та безпека» на Mac натисніть кнопку «Експертні» й виберіть «Вмикати екранний ефект, коли зникає токен авторизації». Переконайтеся, що конфігуровано параметри екранного ефекту, і виберіть «Вимагати пароль одразу після режиму сну або появи екранного ефекту».
У рішенні керування мобільними пристроями (MDM) за допомогою ключа
tokenRemovalAction.