Verwenden einer Smartcard auf dem Mac
Beim Verwenden einer Smart Card auf Mac-Computern wird diese standardmäßig mit einem lokalen Benutzeraccount verknüpft. Diese Methode wird automatisch angewendet, wenn ein Benutzer eine Karte in den am Computer angeschlossenen Kartenleser einlegt. Der Benutzer wird aufgefordert, die Karte mit seinem Account zu „koppeln“ (verknüpfen). Für diesen Vorgang ist Adminzugriff erforderlich (da die Informationen zum Verknüpfen im lokalen Verzeichnis des Benutzeraccounts gespeichert werden). Diese Methode wird als lokale Accountkopplung (Local Account Pairing) bezeichnet. Wenn ein Benutzer seine Karte bei entsprechender Aufforderung nicht koppelt, kann er diese Karte dennoch für den Zugriff auf Websites verwenden, er ist dann jedoch nicht in der Lage, sich mit der Smart Card bei seinem Benutzeraccount anzumelden. Smart Cards können auch mit einem Verzeichnisdienst verwendet werden. Damit sich die Smart Card für die Anmeldung verwenden lässt, muss sie entweder gekoppelt oder für die Arbeit mit einem Verzeichnisdienst konfiguriert sein.
Account lokal koppeln
Die folgenden Schritte beschreiben den Vorgang beim lokalen Koppeln eines Accounts:
Lege eine PIV-Smart Card oder ein Hard Token ein, das Authentifizierungs- und Verschlüsselungsidentitäten umfasst.
Wähle „Koppeln“ im Mitteilungsfenster aus.
Gib die Anmeldedaten des Administratoraccount (Benutzername/Passwort) ein.
Stelle die vier- bis sechsstellige persönliche Identifikationsnummer (PIN) für die eingelegte Smart Card bereit.
Melde dich ab und verwende die Smart Card und die PIN, um dich wieder anzumelden.
Das lokale Koppeln des Accounts kann auch mit der Befehlszeile und einem vorhandenen Account erreicht werden. Weitere Informationen findest du unter Konfigurieren eines Mac für die Authentifizierung ausschließlich mit Smartcard.
Attributzuordnung mit Active Directory
Smart Cards können mittels Attributzuordnung gegenüber Active Directory authentifiziert werden. Bei dieser Methode müssen ein Active Directory-gebundenes System verwendet und die entsprechenden Felder in der Datei /private/etc/SmartcardLogin.plist festgelegt werden. Diese Datei benötigt allgemein lesbare Berechtigungen, um korrekt funktionieren zu können. Die folgenden Felder im PIV-Authentifizierungszertifikat können verwendet werden, um Attribute den zugehörigen Werten im Directory-Account zuzuordnen:
Allgemeiner Name
RFC 822-Name (E-Mail-Adresse)
NT-Benutzeranmeldename
Organisation
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Land
Es können auch mehrere Felder verbunden werden, um übereinstimmende Werte im Directory zu erzeugen.
Damit ein Benutzer diese Funktion nutzen kann, muss vorab der Mac mit der entsprechenden Attributzuordnung konfiguriert und die Benutzeroberfläche für das lokale Koppeln deaktiviert werden. Zum Abschließen dieses Vorgangs muss der Benutzer lokale Administratorrechte besitzen.
Öffne zum Deaktivieren des Dialogfensters für das lokale Koppeln die App „Terminal“ und gib den folgenden Befehl ein:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Der Benutzer kann anschließend Passwort eingeben, wenn er dazu aufgefordert wird.
Sobald der Mac konfiguriert ist, legt der Benutzer lediglich eine Smart Card oder ein Token ein, um einen neuen Benutzeraccount zu erstellen. Er wird aufgefordert, die PIN einzugeben und ein eindeutiges Schlüsselbund-Passwort zu erstellen, das vom Verschlüsselungsschlüssel in der Smart Card umschlossen wird. Accounts können sowohl für Netzwerkbenutzeraccounts als auch für mobile Benutzeraccounts konfiguriert werden.
Hinweis: Eine vorhandene Datei „/private/etc/SmartcardLogin.plist“ hat Vorrang vor gekoppelten lokalen Accounts.
Beispiel für einen Netzwerkbenutzeraccount mit Attributzuweisung
Das folgende Beispiel zeigt eine SmartcardLogin.plist-Datei, bei der der allgemeine Name mit dem RFC 822-Namen auf dem PIV-Authentifizierungszertifikat korreliert, damit er mit dem Attribut longName in Active Directory übereinstimmt:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Beispiel für einen mobilen Benutzeraccount mit Attributzuweisung
Wenn die Einstellung „Mobilen Account bei Anmeldung erstellen“ beim Binden an Active Directory ausgewählt wird, können mobile Accounts für die Offline-Anmeldung erstellt werden. Diese mobile Benutzerfunktion wird von der Kerberos-Attributzuordnung unterstützt und in der Datei „Smartcardlogin.plist“ konfiguriert. Diese Konfiguration ist auch in Umgebungen nützlich, in denen ein Mac den Verzeichnisserver nicht immer erreichen kann. Für die anfängliche Account-Konfiguration sind jedoch die Bindung an die Maschine und der Zugriff auf den Verzeichnisserver erforderlich.
Hinweis: Wenn du mobile Accounts verwendest, muss bei der ersten Anmeldung des zuerst erstellten Accounts das zugehörige Passwort des Accounts verwendet werden. Dieser Prozess stellt sicher, dass ein Secure Token abgerufen wird, damit bei folgenden Anmeldungen FileVault entsperrt werden kann. Nach der ersten passwortbasierten Anmeldung kann die ausschließliche Authentifizierung mit Smart Card verwendet werden.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Aktivieren des Bildschirmschoners beim Entfernen des Token
Der Bildschirmschoner lässt sich so konfigurieren, dass er automatisch gestartet wird, wenn ein Benutzer sein Token entfernt. Diese Option wird erst angezeigt, nachdem eine Smart Card gekoppelt wurde. Dies kann auf zwei Arten geschehen:
Im Bereich „Datenschutz & Sicherheit“ der Systemeinstellungen des Mac auf die Taste „Weitere Optionen“ klicken und die Option „Bildschirmschoner aktivieren, nachdem der Anmeldungs-Token entfernt wurde“ auswählen. Dabei ist darauf zu achten, dass die Einstellungen für den Bildschirmschoner konfiguriert sind und die Option zum Festlegen eines Passworts unmittelbar nach dem Aktivieren des Ruhezustands oder Bildschirmschoners ausgewählt ist.
Mit einer MDM-Lösung durch Verwenden des Schlüssels
tokenRemovalAction.