استخدام بطاقة ذكية على Mac
الطريقة الافتراضية لاستخدام البطاقة الذكية على أجهزة كمبيوتر Mac هي إقران بطاقة ذكية بحساب مستخدم محلي؛ تحدث هذه الطريقة تلقائيًا عندما يُدخل المستخدم بطاقته في قارئ بطاقات متصل بجهاز كمبيوتر. يُطلب من المستخدم "إقران" البطاقة بحسابه ويتطلب وصول المسؤول لأداء هذه المهمة (بسبب معلومات الاقتران التي يتم تخزينها في حساب الدليل المحلي للمستخدم) تسمى هذه الطريقة اقتران الحساب المحلي. إذا لم يقم المستخدم بإقران بطاقته عندما يُطلب منه ذلك، يظل بإمكان المستخدم استخدام البطاقة للوصول إلى مواقع الويب ولكنه لن يتمكن من تسجيل الدخول إلى حساب المستخدم الخاص به باستخدام البطاقة الذكية. يمكن أيضًا استخدام البطاقات الذكية مع خدمة الدليل. لاستخدام البطاقة الذكية لتسجيل الدخول، يجب إما إقرانها أو تكوينها للعمل مع خدمة الدليل.
إقران الحساب المحلي
توضح الخطوات أدناه عملية إقران الحساب المحلي:
أدخل بطاقة PIV ذكية أو رمزًا ثابثًا يتضمن هويات المصادقة والتشفير.
حدد "إقران" في مربع حوار الإشعار.
أدخل بيانات اعتماد حساب المسؤول (اسم المستخدم/كلمة السر).
أدخِل رقم التعريف الشخصي (PIN) المكون من أربعة إلى ستة أرقام الخاص بالبطاقة الذكية المستخدمة.
سجل الخروج واستخدم البطاقة الذكية ورمز PIN لتسجيل الدخول مرة أخرى.
يمكن أيضًا إقران الحساب المحلي باستخدام سطر الأوامر وأي حساب موجود. لمزيد من المعلومات، انظر تكوين Mac لمصادقة البطاقة الذكية فقط.
ربط السمة مع Active Directory
يمكن مصادقة البطاقات الذكية مع Active Directory باستخدام ربط السمة. تتضمن هذه الطريقة وجود نظام لربط Active Directory وإعداد الملفات المطابقة المناسبة في الملف /private/etc/SmartcardLogin.plist. يجب أن يكون لهذا الملف أذونات قابلة للقراءة للجميع حتى يعمل بشكل صحيح. يمكن استخدام الحقول الآتية في شهادة مصادقة PIV لتعيين السمات للقيم المقابلة في حساب الدليل:
الاسم الشائع
اسم RFC 822 (عنوان البريد الإلكتروني)
NT Principal Name
المؤسسة
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
البلد
يمكن كذلك ربط الحقول المتعددة لإنتاج قيمة مطابقة في الدليل.
حتى يتمكن المستخدم من الاستفادة من هذه الميزة، يجب تكوين الـ Mac باستخدام تعيين السمات المناسبة وإيقاف واجهة مستخدم الاقتران المحلي. يجب أن يكون لدى المستخدم أذونات المسؤول المحلي لإكمال هذه المهمة.
لإيقاف مربع حوار الاقتران المحلي، افتح تطبيق الوحدة الطرفية، ثم اكتب:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
يمكن للمستخدم بعد ذلك إدخال كلمة السر الخاصة به عند المطالبة بذلك.
بمجرد تكوين الـ Mac، لا يحتاج المستخدم سوى إدخال بطاقة ذكية أو رمز لإنشاء حساب مستخدم جديد. ويُطلب منه إدخال رقم التعريف الشخصي وإنشاء كلمة سر فريدة لسلسلة المفاتيح يتم تغليفها بمفتاح التشفير في البطاقة الذكية. يمكن تكوين الحسابات لحسابات مستخدمي الشبكة أو حسابات مستخدمي الجوّال.
ملاحظة: وجود الملف /private/etc/SmartcardLogin.plist له الأسبقية على الحسابات المحلية المقترنة.
مثال على حساب مستخدم الشبكة مع ربط السمة
يوجد أدناه ملف SmartcardLogin.plist نموذجي حيث يرتبط التعيين بالاسم الشائع واسم RFC 822 في شهادة مصادقة PIV لمطابقة السمة longName في Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>مثال على حساب مستخدم الجوّال مع ربط السمة
عند الربط بـ Active Directory، حدد التفضيل "إنشاء حساب محمول عند الدخول" للسماح لحسابات المحمول بتسجيل الدخول في وضع عدم الاتصال. يتم دعم ميزة مستخدم المحمول هذه من خلال تعيين سمة Kerberos، ويتم تكوينها في ملف Smartcardlogin.plist. يعد هذا التكوين مفيدًا أيضًا في البيئات التي قد لا يتمكن فيها Mac دائمًا من الوصول إلى خادم الدليل. لكن يتطلب إعداد الحساب الأولي ربط الجهاز والوصول إلى خادم الدليل.
ملاحظة: إذا كنت تستخدم حسابات الجوال، في المرة الأولى التي يتم فيها إنشاء حساب، يجب أن يستخدم تسجيل الدخول الأولي كلمة السر المرتبطة بالحساب. تضمن هذه العملية الحصول على رمز مميز آمن حتى تتمكن المزيد من عمليات تسجيل الدخول من فتح خزنة الملفات. بعد تسجيل الدخول الأولي المستند إلى كلمة السر، يمكن استخدام مصادقة البطاقة الذكية فقط.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>تمكين شاشة التوقف عند إزالة الرمز المميز
يمكن تكوين شاشة التوقف للبدء تلقائيًا عندما يقوم المستخدم بإزالة الرمز المميز. لا يظهر هذا الخيار إلا بعد إقران بطاقة ذكية. هناك طريقتان رئيسيتان لتحقيق ذلك:
في إعدادات الخصوصية والأمن على Mac، استخدم الزر "متقدم" وحدد "تشغيل شاشة التوقف عندما تتم إزالة الرمز المميز للدخول". تأكد من تكوين إعدادات شاشة التوقف، ثم حدد "المطالبة بكلمة سر فورًا بعد الإسبات أو بدء شاشة التوقف".
في أحد حلول إداة جهاز الجوال (MDM)، استخدام مفتاح
tokenRemovalAction.