Použití čipových karet na Macu
Standardní metoda používání čipových karet na počítačích Mac spočívá v tom, že čipovou kartu spárujete s místním uživatelským účtem. Když uživatel vloží čipovou kartu do čtečky připojené k počítači, tato metoda se aktivuje automaticky. Uživatel je vyzván ke „spárování“ karty se svým účtem a k provedení tohoto úkolu je potřeba přístup správce (vzhledem k tomu, že informace potřebné pro spárování jsou uložené v místním adresáři účtu uživatele). Tato metoda se označuje jako spárování místního účtu. Pokud uživatel na vyzvání svou kartu nespáruje, může ji stále používat pro přístup k webovým stránkám, ale nemůže se s ní přihlásit ke svému uživatelskému účtu. Čipové karty lze používat také v kombinaci s adresářovou službou. K přihlášení lze čipovou kartu použít jen tehdy, je‑li spárovaná s účtem nebo nakonfigurovaná pro práci s adresářovou službou.
Párování s místním účtem
Proces párování s místním účtem probíhá v následujících krocích:
Vložte čipovou kartu s podporou PIV nebo hardwarový token obsahující identity pro ověřování totožnosti a šifrování.
V dialogovém okně s oznámením vyberte volbu Spárovat.
Zadejte ověřovací údaje pro účet správce (uživatelské jméno a heslo).
Zadejte 4–6místné osobní identifikační číslo (PIN) vložené čipové karty.
Odhlaste se a pak se znovu přihlaste s použitím čipové karty a PINu.
Kartu lze s místním účtem spárovat také z příkazového řádku a použít k tomu existující účet. Další informace najdete v části Nakonfigurování Macu pro ověřování totožnosti pouze pomocí čipové karty.
Mapování atributů s použitím služby Active Directory
Čipové karty umožňují ověřování totožnosti přes službu Active Directory s použitím mapování atributů. Tato metoda vyžaduje systém svázaný se službou Active Directory a nastavení potřebných odpovídajících polí v souboru /private/etc/SmartcardLogin.plist. Pro správnou funkci je nutné u tohoto souboru nastavit všeobecné oprávnění ke čtení. Následující pole v certifikátu ověřování PIV lze použít k mapování atributů na odpovídající hodnoty v účtu adresářové služby:
Common Name
RFC 822 Name (e‑mailová adresa)
NT Principal Name
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
Pro vytvoření odpovídající hodnoty v adresářové službě lze také zřetězit více polí.
Aby mohl uživatel tuto funkci využívat, musí být na jeho Macu nakonfigurované odpovídající mapování atributů a uživatelské rozhraní pro místní párování musí být vypnuté. K provedení této úlohy musí mít uživatel oprávnění místního správce.
Chcete‑li vypnout dialogové okno pro místní párování, otevřete aplikaci Terminál a zadejte příkaz:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Uživatel pak může na výzvu zadat své heslo.
Po nakonfigurování Macu uživatel jednoduše vytvoří nový uživatelský účet prostým vložením čipové karty nebo tokenu. Poté je vyzván k zadání PINu a vytvoření jedinečného hesla ke svazku klíčů, které bude zabaleno do šifrovacího klíče na čipové kartě. Účty lze nakonfigurovat jako síťové nebo mobilní uživatelské účty.
Poznámka: Přítomnost souboru /private/etc/SmartcardLogin.plist má před spárovanými místními účty přednost.
Příklad síťového uživatelského účtu s mapováním atributů
Mapování v následujícím příkladu souboru SmartcardLogin.plist zajišťuje korelaci polí Common Name a RFC 822 Name v certifikátu ověřování PIV tak, aby odpovídala atributu longName ve službě Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Příklad mobilního uživatelského účtu s mapováním atributů
Při vytvoření vazby ke službě Active Directory lze výběrem předvolby „Vytvořit mobilní účet při přihlášení“ povolit offline přihlašování k mobilním účtům. Tato funkce mobilního uživatele je podporována při použití mapování atributu Kerberos a je nakonfigurována v souboru Smartcardlogin.plist. Stejná konfigurace se uplatní i v prostředích, ve kterých Mac nemusí mít vždy přístup k adresářovému serveru. Počáteční nastavení účtu však vyžaduje vazbu počítače a přístup k adresářovému serveru.
Poznámka: Pokud používáte mobilní účty, musí být při prvním vytvoření účtu použito přidružené heslo účtu. Tento proces zajistí získání zabezpečeného tokenu, který při následných přihlášeních umožní odemknutí FileVaultu. Po úvodním přihlášení pomocí hesla lze použít ověřování pouze pomocí čipové karty.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Zapnutí spořiče obrazovky při odstranění tokenu
Spořič obrazovky lze nakonfigurovat tak, aby se spouštěl automaticky, jakmile uživatel vyjme token. Tato volba se zpřístupní až po spárování čipové karty. Můžete postupovat dvěma způsoby:
V nastavení Soukromí a zabezpečení na Macu použijte tlačítko Pokročilé a vyberte volbu „Při odstranění tokenu přihlášení zapnout spořič obrazovky“. Nakonfigurujte spořič obrazovky a potom vyberte volbu „Požadovat heslo ihned po přechodu do spánku nebo spuštění spořiče obrazovky“.
Ve službě správy mobilních zařízení (MDM) použijte klíč
tokenRemovalAction.