Použití čipových karet na Macu
Standardní metoda používání čipových karet na počítačích Mac spočívá v tom, že čipovou kartu spárujete s místním uživatelským účtem. Když uživatel vloží čipovou kartu do čtečky připojené k počítači, tato metoda se aktivuje automaticky. Uživatel je vyzván ke „spárování“ karty se svým účtem a k provedení tohoto úkolu je potřeba přístup správce (vzhledem k tomu, že informace potřebné pro spárování jsou uložené v místním adresáři účtu uživatele). Tato metoda se označuje jako spárování místního účtu. Pokud uživatel na vyzvání svou kartu nespáruje, může ji stále používat pro přístup k webovým stránkám, ale nemůže se s ní přihlásit ke svému uživatelskému účtu. Čipové karty lze používat také v kombinaci s adresářovou službou. K přihlášení lze čipovou kartu použít jen tehdy, je‑li spárovaná s účtem nebo nakonfigurovaná pro práci s adresářovou službou.
Párování s místním účtem
Proces párování s místním účtem probíhá v následujících krocích:
Vložte čipovou kartu s podporou PIV nebo hardwarový token obsahující identity pro ověřování totožnosti a šifrování.
V dialogovém okně s oznámením vyberte volbu Spárovat.
Zadejte ověřovací údaje pro účet správce (uživatelské jméno a heslo).
Zadejte 4–6místné osobní identifikační číslo (PIN) vložené čipové karty.
Odhlaste se a pak se znovu přihlaste s použitím čipové karty a PINu.
Kartu lze s místním účtem spárovat také z příkazového řádku a použít k tomu existující účet. Další informace najdete v části Nakonfigurování Macu pro ověřování totožnosti pouze pomocí čipové karty.
Mapování atributů s použitím služby Active Directory
Čipové karty umožňují ověřování totožnosti přes službu Active Directory s použitím mapování atributů. Tato metoda vyžaduje systém svázaný se službou Active Directory a nastavení potřebných odpovídajících polí v souboru /private/etc/SmartcardLogin.plist. Pro správnou funkci je u tohoto souboru nutné nastavit oprávnění ke čtení pro všechny uživatele. Následující pole v certifikátu ověřování PIV lze použít k mapování atributů na odpovídající hodnoty v účtu adresářové služby:
Common Name
RFC 822 Name (e‑mailová adresa)
NT Principal Name
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
Odpovídající hodnotu v adresáři lze také vytvořit pomocí zřetězení více polí. Pokud je k dispozici soubor SmartcardLogin.plist, má přednost před spárovanými místními účty.
Aby mohl uživatel tuto funkci využívat, musí být na jeho Macu nakonfigurované odpovídající mapování atributů a uživatelské rozhraní pro místní párování musí být vypnuté. K provedení této úlohy uživatel potřebuje oprávnění místního správce.
Chcete‑li vypnout dialogové okno pro místní párování, otevřete aplikaci Terminál a zadejte příkaz:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Uživatel pak může na výzvu zadat své heslo.
Po nakonfigurování Macu uživatel jednoduše vytvoří nový uživatelský účet prostým vložením čipové karty nebo tokenu. Poté je vyzván k zadání PINu a vytvoření jedinečného hesla ke svazku klíčů, které bude zabaleno do šifrovacího klíče na čipové kartě. Účty lze nakonfigurovat jako síťové nebo mobilní uživatelské účty.
Chcete‑li povolit přihlašování k mobilním účtům v offline režimu, vyberte volbu „Vytvořit mobilní účet při přihlášení“. Tato funkce mobilního uživatele je podporována při použití mapování atributu Kerberos a je nakonfigurována v souboru Smartcardlogin.plist. Stejná konfigurace se uplatní i v prostředích, ve kterých Mac nemusí mít vždy přístup k adresářovému serveru. Počáteční nastavení účtu však vyžaduje vazbu počítače a přístup k adresářovému serveru.
Poznámka: Pokud používáte mobilní účty, musí být k prvotnímu přihlášení při prvním vytvoření mobilního účtu použito přidružené heslo účtu. Tento proces zajistí získání zabezpečeného tokenu, který při následných přihlášeních umožní odemknutí FileVaultu. Po úvodním přihlášení pomocí hesla lze použít ověřování pouze pomocí čipové karty.
Mapování v následujícím příkladu souboru SmartcardLogin.plist zajišťuje korelaci pole NT Principal Name v certifikátu ověřování PIV tak, aby odpovídalo atributu AltSecurityIdentities v místním účtu uživatele:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:AltSecurityIdentities</string> </dict> </dict></plist>Příklad síťového uživatelského účtu s mapováním atributů
Mapování v následujícím příkladu souboru SmartcardLogin.plist zajišťuje korelaci polí Common Name a RFC 822 Name v certifikátu ověřování PIV tak, aby odpovídala atributu longName ve službě Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict> </dict></plist>Zapnutí spořiče obrazovky při odstranění tokenu
Spořič obrazovky lze nakonfigurovat tak, aby se spouštěl automaticky, jakmile uživatel vyjme token. Tato volba se zpřístupní až po spárování čipové karty. Můžete postupovat dvěma způsoby:
V nastavení Soukromí a zabezpečení na Macu použijte tlačítko Pokročilé a vyberte volbu „Při odstranění tokenu přihlášení zapnout spořič obrazovky“. Nakonfigurujte spořič obrazovky a potom vyberte volbu „Požadovat heslo ihned po přechodu do spánku nebo spuštění spořiče obrazovky“.
Ve službě správy zařízení použijte klíč
tokenRemovalAction.