Älykortin käyttäminen Macissa
Älykorttia käytetään oletuksena Mac-tietokoneissa siten, että se liitetään paikalliseen käyttäjätiliin. Tämä toimii automaattisesti, kun käyttäjä asettaa kortin tietokoneeseen liitettyyn kortinlukijaan. Käyttäjää kehotetaan liittämään kortti tilinsä pariksi, ja siihen vaaditaan ylläpitäjän käyttöoikeus (koska paritiedot tallennetaan käyttäjän paikalliselle hakemistotilille). Tätä tapaa kutsutaan paikallisen tilin liittämiseksi. Jos käyttäjä ei liitä korttiaan kehotettaessa, käyttäjä voi silti käyttää korttia verkkosivustoille pääsemiseen, mutta hän ei voi kirjautua käyttäjätililleen älykortilla. Älykortteja voidaan käyttää myös hakemistopalvelun kanssa. Jotta älykorttia voidaan käyttää sisäänkirjautumiseen, siitä on muodostettava pari tai se on määritettävä toimimaan hakemistopalvelun kanssa.
Paikallinen tilin liittäminen
Alla olevissa vaiheissa kuvataan paikallinen tilin liittämisen prosessi:
Aseta lukijaan PIV-älykortti tai tunnistelaite, joka sisältää todentamis- ja salausidentiteetit.
Valitse valintaikkunassa liittäminen.
Anna ylläpitäjätilin tunnistetiedot (käyttäjätunnus/salasana).
Anna älykortin 4–6-numeroinen PIN-tunnus.
Kirjaudu ulos ja kirjaudu sitten takaisin sisään älykortilla ja PIN-tunnuksella.
Paikallinen tilin liittäminen voidaan suorittaa myös komentorivityökalulla ja olemassa olevalla tilillä. Jos haluat lisätietoja, katso Macin määrittäminen vain älykortilla tapahtuvaa todentamista varten.
Attribuuttikartoitus Active Directorylla
Älykortit voidaan todentaa Active Directorylla attribuuttikartoituksen avulla. Tässä menetelmässä käytetään Active Directoryyn sidottua järjestelmää ja asetetaan tarvittavat kenttien vastaavuudet tiedostossa /private/etc/SmartcardLogin.plist. Tämän tiedoston tulee olla kaikkien käyttäjien luettavissa, jotta se voi toimia asianmukaisesti. PIV Authentication ‑varmenteen seuraavia kenttiä voidaan käyttää yhdistämään attribuutit hakemistotilin vastaaviin arvoihin:
Yleinen nimi
RFC 822 Name (sähköpostisoite)
NT Principal Name
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
Kenttiä voidaan myös ketjuttaa, jotta saadaan hakemistoa vastaava arvo.
Ennen kuin käyttäjä voi hyödyntää tätä toimintoa, Macille on määritettävä asianmukainen attribuuttikartoitus ja paikallisen liittämisen käyttöliittymä on laitettava pois päältä. Käyttäjällä on oltava paikallisen ylläpitäjän oikeudet tätä tehtävää varten.
Laita paikallisen liittämisen valintaikkuna pois päältä avaamalla Pääte-appi ja kirjoittamalla:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Sen jälkeen käyttäjä voi syöttää salasanansa saadessaan kehotuksen.
Kun määritys on tehty Macille, käyttäjä voi luoda uuden käyttäjätilin asettamalla älykortin tai tunnisteen lukijaan. Häntä kehotetaan syöttämään PIN-tunnuksensa ja luomaan uniikki avainnippusalasana, joka salataan älykortin salausavaimella. Tilejä voidaan määrittää verkkokäyttäjätileiksi tai liikkuviksi käyttäjätileiksi.
Huomaa: /private/etc/SmartcardLogin.plist-tiedosto on etusijalla yhdistettyihin paikallisiin tileihin nähden.
Esimerkki verkkokäyttäjätilistä ja attribuuttikartoituksesta
Alla on esimerkki SmartcardLogin.plist-tiedostosta, jossa PIV Authentication ‑varmenteen kentät Common Name ja RFC 822 Name vastaavat Active Directoryn attribuuttia longName:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Esimerkki liikkuvasta käyttäjätilistä ja attribuuttikartoituksesta
Kun käytetään Active Directoryyn sitomista, valitse ”Luo liikkuva tili sisäänkirjauduttaessa” ‑asetus, jotta liikkuvien tilien luominen offline-kirjautumista varten sallitaan. Tätä liikkuvan käyttäjän ominaisuutta tuetaan Kerberos-attribuuttikartoituksella, ja se määritetään Smartcardlogin.plist-tiedostossa. Tämä määritys on hyödyllinen myös ympäristöissä, joissa Mac ei välttämättä aina saa yhteyttä hakemistopalvelimeen. Tilin ensimmäinen käyttöönotto edellyttää kuitenkin koneen liittämistä ja pääsyä hakemistopalvelimelle.
Huomaa: Liikkuvia tilejä käytettäessä kun tili luodaan ensimmäisen kerran, ensimmäisessä sisäänkirjautumisessa on käytettävä tilin salasanaa. Tämä prosessi varmistaa Secure Tokenin saamisen, jotta myöhemmät sisäänkirjautumiset voivat avata FileVaultin lukituksen. Ensimmäisen salasanalla tehtävän sisäänkirjautumisen jälkeen voidaan käyttää todentamista pelkästään älykortilla.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Tunnisteen poiston yhteydessä käynnistyvän näytönsäästäjän käyttöönotto
Näytönsäästäjä voidaan määrittää käynnistymään automaattisesti, kun käyttäjä poistaa tunnisteensa. Tämä valinta tulee näkyviin vasta, kun älykortti on liitetty. Tämä voidaan tehdä kahdella pääasiallisella tavalla:
Käytä Macin Tietosuoja ja suojaus ‑asetusosion Lisävalinnat-painiketta ja valitse ”Laita näytönsäästäjä päälle, kun kirjautumistunnisteväline poistetaan”. Varmista, että näytönsäästäjän asetukset on määritetty, ja valitse ”Vaadi salasana välittömästi heräämisen jälkeen tai näytönsäästäjän käynnistyttyä”.
Käytä MDM-ratkaisussa
tokenRemovalAction-avainta.