Intelligens kártya használata a Macen
Mac számítógépen az intelligens kártyák használatához megadott alapértelmezett módszer párosítja az intelligens kártyát egy helyi felhasználóval; ez a módszer automatikusan végbemegy, amikor a felhasználó behelyezi a kártyáját a számítógéphez csatlakoztatott kártyaolvasóba. A rendszer felszólítja a felhasználót, hogy „párosítsa” a kártyát a fiókjával, és ehhez adminisztrátori hozzáférésre van szüksége (a felhasználó helyi könyvtárfiókjában tárolt párosítási információk miatt) Ezt a módszert helyi fiókpárosításnak nevezik. Ha a felhasználó nem párosítja a kártyát, amikor a rendszer kéri, akkor továbbra is hozzáférhet webhelyekhez a kártya segítségével, azonban nem fog tudni bejelentkezni a felhasználói fiókjába az intelligens kártyával. Az intelligens kártyák igény szerint címtárszolgáltatásokkal is használhatók. Ha az intelligens kártyát bejelentkezéshez szeretné használni, úgy kell párosítania vagy konfigurálnia, hogy a kártya működjön egy címtárszolgáltatással.
Helyi fiókpárosítás
A helyi fiókpárosítási folyamat lépései a következők:
Helyezzen be egy olyan PIV intelligens kártyát vagy fizikai kártyát, amely hitelesítési és titkosítási identitásokkal rendelkezik.
Válassza ki a Párosítás lehetőséget az értesítési párbeszédpanelen
Adja meg az adminisztrátori fiók hitelesítő adatait (felhasználónév és jelszó).
Adja meg a behelyezett intelligens kártya négy-hat számjegyből álló személyes azonosítószámát (PIN).
Jelentkezzen ki, majd jelentkezzen be ismét az intelligens kártyával és a PIN-kóddal.
A helyi fiókpárosítás a parancssor használatával vagy egy meglévő fiókkal is elvégezhető. További információk: A Mac konfigurálása a kizárólag intelligens kártyával történő hitelesítéshez.
Attribútumok leképezése az Active Directoryval
Az intelligens kártyák attribútumleképezéssel is hitelesíthetők az Active Directoryban. Ennél a módszernél rendelkezni kell egy olyan rendszerrel, amely kapcsolódik az Active Directoryhoz, és meg kell adni a megfelelő adatokat a /private/etc/SmartcardLogin.plist fájlban. A megfelelő működés érdekében a fájlnak globálisan olvasható engedélyekkel kell rendelkeznie. A következő mezők PIV-hitelesítési tanúsítványa használható az attribútumok megfelelő értékekhez való leképzéséhez a könyvtárfiókban:
Közös név
RFC 822 név (e-mail-cím)
NT Principal Name (NT-elöljáró neve)
Szervezet
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Ország
Több mező egyesíthető, hogy egyezzen az érték a könyvtárban.
Mielőtt a felhasználó elkezdhetné használni ezt a funkciót, a Macjüket a megfelelő attribútumleképezéssel kell konfigurálni, és a helyi párosítást végző felhasználó felületét le kell tiltani. A felhasználónak helyi adminisztrátor-jogosultsággal kell rendelkeznie a feladat végrehajtásához.
A helyi párosítás párbeszédpanelének letiltásához nyissa meg a Terminal appot, és írja be a következőt:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
A felhasználó beírhatja a jelszavát, ha felszólítják rá.
A Mac konfigurálásának elvégzése után a felhasználónak csak be kell helyeznie az intelligens kártyát vagy a tokent, és létre kell hoznia egy új felhasználói fiókot. A rendszer megkéri a felhasználót, hogy adja meg a PIN-kódját, és hozzon létre egy olyan egyedi kulcskarika-jelszót, amely a titkosítási kulccsal van körbefuttatva az intelligens kártyán. A fiókokat hálózati felhasználói fiókokhoz vagy mobil felhasználói fiókokhoz lehet konfigurálni.
Megjegyzés: A /private/etc/SmartcardLogin.plist fájl jelenléte felülírja a párosított helyi fiókokat.
Példa egy attribútumleképezéssel konfigurált hálózati felhasználói fiókra
Az alábbiakban megtekinthet egy példát a SmartcardLogin.plist fájlra, amelyben a leképezés hozzárendeli a PIV-hitelesítési tanúsítványon szereplő Közös nevet és az RFC 822-nevet, hogy megfeleljen az Active Directoryban szereplő longName
attribútumnak:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>Common Name</string>
<string>RFC 822 Name</string>
</array>
<key>formatString</key>
<string>$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:longName</string>
</dict>
</dict>
</plist>
Példa egy attribútumleképezéssel konfigurált mobil felhasználói fiókra
Ha az Active Directoryhoz való kapcsolódáskor a „Mobilfiók létrehozása a bejelentkezéskor” beállítás ki van választva, mobilfiókokat lehet létrehozni offline bejelentkezés céljából. Ez a mobil felhasználói funkció Kerberos attribútumleképezéssel van támogatva, és a Smartcardlogin.plist fájlban konfigurálható. Ez a konfiguráció olyan környezetekben is hasznos lehet, ahol a Macek nem mindig tudják elérni a címtárszervert. Azonban a kezdeti fiókbeállításhoz csatlakoztatni kell a gépet, és hozzáférést kell biztosítani a címtárszerverhez.
Megjegyzés: Ha mobilfiókokat használ, az első létrehozásakor a kezdeti bejelentkezésnek a fiókhoz társított jelszót kell használnia. Ez a folyamat biztosítja, hogy megszerzésre kerüljön a biztonságos token, amely képes feloldani a FileVaultot. A kezdeti jelszóval történő bejelentkezést követően a hitelesítés lehetséges kizárólag az intelligens kártya használatával.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Képernyővédő bekapcsolása a token eltávolításakor
Igény szerint beállítható, hogy a képernyővédő automatikusan elinduljon, amikor a felhasználó eltávolítja a tokenjét. Ez a lehetőség csak egy intelligens kártya párosítását követően jelenik meg. Ehhez két fő módszer áll rendelkezésre:
A Macen lévő Biztonság és adatvédelem beállításokban, a Haladó gomb használata és a „Képernyővédő bekapcsolása a bejelentkezési token eltávolításakor” négyzet bejelölése. Győződjön meg arról, hogy a képernyővédő beállításai konfigurálva vannak, és jelölje be a „Jelszó igénylése rögtön az alvás után vagy a képernyővédő indulásakor” jelölőnégyzetet.
Egy mobileszköz-felügyeleti (MDM) megoldásban használja a
tokenRemovalAction
kulcsot.