Gunakan kad pintar pada Mac
Kaedah lalai penggunaan kad pintar pada komputer Mac adalah dengan memasangkan kad pintar pada akaun pengguna setempat; kaedah ini berlaku secara automatik apabila pengguna memasukkan kad mereka ke dalam pembaca kad yang bersambung ke komputer. Pengguna ini digesa untuk “memasangkan” kad dengan akaun mereka dan memerlukan akses pentadbir untuk melaksanakan tugas ini (disebabkan oleh maklumat pemasangan disimpan dalam akaun direktori setempat pengguna) Kaedah ini dipanggil pemasangan akaun setempat. Jika pengguna tidak memasangkan kad mereka apabila digesa, pengguna masih boleh menggunakan kad untuk mengakses tapak web tetapi tidak dapat log masuk ke akaun pengguna mereka dengan kad pintar. Kad Pintar juga boleh digunakan dengan perkhidmatan direktori. Untuk menggunakan kad pintar untuk log masuk, kad pintar mestilah sama ada dipasangkan atau dikonfigurasikan untuk berfungsi dengan perkhidmatan direktori.
Pemasangan akaun setempat
Langkah di bawah menerangkan proses berpasangan akaun setempat:
Masukkan kad pintar PIV atau token keras yang menyertakan identiti pengesahan dan penyulitan.
Pilih Pasang pada dialog pemberitahuan.
Sediakan kelayakan akaun pentadbir (nama pengguna/kata laluan).
Sediakan nombor identiti peribadi (PIN) empat hingga enam digit untuk kad pintar yang dimasukkan.
Log keluar dan gunakan kad pintar serta PIN untuk log masuk semula.
Pemasangan akaun setempat juga boleh dicapai dengan baris perintah dan akaun sedia ada. Untuk mendapatkan maklumat lanjut, lihat Konfigurasikan Mac untuk pengesahan kad pintar sahaja.
Pemetaan atribut dengan Active Directory
Kad pintar boleh disahkan terhadap Active Directory menggunakan pemetaan atribut. Kaedah ini melibatkan sistem batas Active Directory dan medan sepadan sesuai seting dalam fail /private/etc/SmartcardLogin.plist. Fail ini mestilah mempunyai keizinan boleh baca dunia untuk berfungsi dengan betul. Medan berikut dalam sijil Pengesahan PIV boleh digunakan untuk memetakan atribut pada nilai yang sepadan dalam akaun direktori:
Nama Umum
Nama RFC 822 (alamat e-mel)
Nama Prinsipal NT
Organisasi
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Negara
Berbilang medan juga mungkin digabungkan untuk menghasilkan nilai sepadan dalam direktori.
Sebelum pengguna boleh memanfaatkan ciri ini, Mac mereka mesti dikonfigurasikan dengan pemetaan atribut yang sesuai dan antara muka pengguna berpasangan setempat mesti dinyahdayakan. Pengguna mesti mempunyai kebenaran pentadbir setempat untuk menyelesaikan tugas ini.
Untuk menyahaktifkan dialog pemasangan setempat, buka app Terminal, kemudian taip:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Pengguna kemudian boleh memasukkan kata laluan mereka apabila digesa.
Sebaik sahaja Mac dikonfigurasikan, pengguna hanya memasukkan kad pintar atau token untuk mencipta akaun pengguna baharu. Mereka digesa untuk memasukkan pin mereka dan mencipta kata laluan rantai kunci unik yang dibalut oleh kunci penyulitan dalam kad pintar. Akaun boleh dikonfigurasikan untuk akaun pengguna rangkaian atau akaun pengguna mudah alih.
Nota: Kewujudan fail /private/etc/SmartcardLogin.plist diutamakan daripada akaun setempat dipasangkan.
Akaun pengguna rangkaian dengan contoh pemetaan atribut
Di bawah ialah contoh fail SmartcardLogin.plist yang pemetaan mengkolerasikan Nama Biasa dan Nama RFC 822 pada sijil Pengesahan PIV untuk sepadan dengan atribut longName dalam Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Akaun pengguna mudah alih dengan contoh pemetaan atribut
Apabila mengikat ke Active Directory, pilih keutamaan “Cipta akaun mudah alih pada log masuk” untuk membenarkan akaun mudah alih untuk log masuk luar talian. Ciri pengguna mudah alih ini disokong dengan pemetaan atribut Kerberos dan dikonfigurasikan dalam fail Smartcardlogin.plist. Konfigurasi ini juga berguna dalam persekitaran yang Mac mungkin tidak sentiasa boleh mencapai pelayan direktori. Walau bagaimanapun, persediaan akaun awal memerlukan pengikatan mesin dan akses kepada pelayan direktori.
Nota: Jika anda menggunakan akaun mudah alih, kali pertama akaun dicipta, log masuk awal mesti menggunakan kata laluan akaun yang berkaitan. Proses ini memastikan Token Selamat diperoleh supaya log masuk selepas ini boleh membuka kunci FileVault. Selepas log masuk berdasarkan kata laluan awal, pengesahan kad pintar sahaja boleh digunakan.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Mendayakan penyelamat skrin pada pengeluaran token
Penyelamat skrin boleh dikonfigurasikan untuk mula secara automatik apabila pengguna mengeluarkan token mereka. Pilihan ini hanya kelihatan selepas kad pintar telah dipasangkan. Terdapat dua cara utama untuk mencapai ini:
Dalam seting Privasi & Keselamatan pada Mac, gunakan butang Lanjutan dan pilih “Aktifkan penyelamat skrin apabila token log masuk dikeluarkan”. Pastikan seting penyelamat skrin dikonfigurasikan, kemudian pilih "Perlukan kata laluan serta-merta selepas tidur atau penyelamat skrin bermula”.
Dalam penyelesaian pengurusan peranti mudah alih (MDM), gunakan kunci
tokenRemovalAction.