Utilizar una tarjeta inteligente en el Mac
El método por omisión para el uso de tarjetas inteligentes en ordenadores Mac consiste en enlazar una tarjeta inteligente con una cuenta de usuario local; este método tiene lugar automáticamente cuando un usuario inserta su tarjeta en un lector de tarjetas conectado a un ordenador. Se pide al usuario que “enlace” la tarjeta con su cuenta, lo cual requiere acceso de administrador (ya que la información de enlace se almacena en la cuenta de directorio local del usuario). Este método se denomina enlace de cuenta local. Si un usuario no enlaza su tarjeta cuando se lo pide el sistema, este podrá seguir utilizando la tarjeta para acceder a los sitios web, pero no iniciar sesión en su cuenta de usuario con la tarjeta inteligente. Las tarjetas inteligentes también pueden utilizarse con servicios de directorios. Para iniciar sesión con la tarjeta inteligente, esta debe estar enlazada o configurada para utilizarse con un servicio de directorios.
Enlace de cuenta local
Los siguientes pasos describen el proceso de enlace de una cuenta local:
Inserta una tarjeta inteligente o identificador por hardware PIV que incluya identidades de autenticación y encriptación.
Selecciona Enlazar en el cuadro de diálogo de notificación.
Indica las credenciales de la cuenta de administrador (nombre de usuario/contraseña).
Indica el número de identificación personal de entre cuatro y seis dígitos de la tarjeta inteligente insertada.
Cierra sesión y utiliza la tarjeta inteligente y el PIN para volver a iniciar sesión.
Las cuentas locales también se pueden enlazar con la línea de comandos y una cuenta existente. Para obtener más información, consulta Configurar un Mac para la autenticación exclusiva con tarjeta inteligente.
Asignación de atributos con Active Directory
Las tarjetas inteligentes se pueden autenticar en Active Directory mediante la asignación de atributos. Para utilizar este método, es preciso contar con un sistema vinculado de Active Directory y definir la información adecuada en el archivo /private/etc/SmartcardLogin.plist. Para que este método funcione, el archivo debe tener permisos legibles para Mundo. Los siguientes campos del certificado de autenticación PIV se pueden usar para asignar atributos a los valores correspondientes en la cuenta de directorio:
Nombre común
Nombre RFC 822 (dirección de correo electrónico)
Nombre principal de NT
Organización
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
País
También se pueden concatenar varios campos para producir un valor coincidente en el directorio.
Para que el usuario pueda aprovechar esta característica, el Mac debe estar configurado con la correspondiente asignación de atributos y la interfaz de usuario de enlace local debe estar desactivada. Un usuario debe tener permisos de administrador local para completar esta tarea.
Para desactivar el cuadro de diálogo de enlace local, abre la app Terminal y escribe:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
A continuación, el usuario puede introducir su contraseña cuando el sistema se lo pida.
Nada más configurar el Mac, el usuario solo tendrá que insertar una tarjeta inteligente o identificador para crear una cuenta de usuario nueva. Se le pedirá que introduzca su PIN y cree una contraseña de llavero única envuelta por la clave de encriptación de la tarjeta inteligente. Las cuentas se pueden configurar para cuentas de usuario de red o cuentas de usuario móviles.
Nota: La presencia del archivo /private/etc/SmartcardLogin.plist tiene prioridad sobre las cuentas locales enlazadas.
Cuenta de usuario de red con asignación de atributos de ejemplo
Lo siguiente es un archivo SmartcardLogin.plist de ejemplo en el que la asignación correlaciona el “Nombre común” y el “Nombre RFC 822” del certificado de autenticación PIV con el atributo longName
de Active Directory:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>Common Name</string>
<string>RFC 822 Name</string>
</array>
<key>formatString</key>
<string>$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:longName</string>
</dict>
</dict>
</plist>
Cuenta de usuario móvil con asignación de atributos de ejemplo
Al enlazar con Active Directory, selecciona la preferencia “Crear una cuenta móvil al iniciar la sesión” para permitir crear cuentas móviles para iniciar sesión sin conexión. Esta función de usuario móvil es compatible con la asignación de atributos de Kerberos y se configura en el archivo Smartcardlogin.plist. Esta configuración también resulta útil en entornos en los que un Mac no siempre pueda conectarse a un servidor de directorios. Sin embargo, la configuración de la cuenta inicial requiere un enlace a la máquina y acceso al servidor de directorio.
Nota: Si estás utilizando cuentas móviles, el inicio de sesión inicial debe usar la contraseña asociada de la cuenta la primera vez que se crea una. Este proceso garantiza que se obtiene un identificador seguro para que, en adelante, los inicios de sesión puedan desbloquear FileVault. Tras el inicio de sesión inicial con contraseña, puede utilizarse la autenticación exclusiva con tarjeta inteligente.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Cómo activar el salvapantallas al eliminarse el identificador
El salvapantallas se puede configurar para que se inicie automáticamente cuando un usuario elimina su identificador. Esta opción solo aparece después de que se haya enlazado una tarjeta inteligente. Hay dos formas principales de hacerlo:
En los ajustes “Seguridad y privacidad” del Mac, usa el botón Avanzadas y selecciona “Activar salvapantallas cuando el identificador de inicio de sesión se haya eliminado”. Asegúrate de que los ajustes del salvapantallas están configurados y selecciona “Solicitar una contraseña inmediatamente tras iniciarse el reposo o el salvapantallas”.
En una solución de gestión de dispositivos móviles (MDM), usa la clave
tokenRemovalAction
.