Brug Smart Card til Mac
Standardbrug af Smart Card i på Mac-computere er at parre et Smart Card med en lokal brugerkonto. Denne metode forekommer automatisk, når en bruger sætter sit kort i en kortlæser, der er sluttet til en computer. Brugeren bliver bedt om at “parre” kortet med sin konto, og der kræves administratoradgang for at udføre denne opgave (pga. pardannelsesoplysninger, der gemmes i brugerens lokale bibliotekskonto). Denne metode kaldes pardannelse med lokal konto. Hvis en bruger ikke parrer sit kort, når der bliver bedt om det, kan brugeren stadig bruge kortet til at få adgang til websteder, men brugeren kan ikke logge ind på sin brugerkonto med sit Smart Card. Smart Cards kan også bruges sammen med en bibliotekstjeneste. Før et Smart Card kan bruges til at logge ind, skal det enten være parret med eller konfigureret til at samarbejde med en bibliotekstjeneste.
Pardannelse med lokal konto
Nedenstående trin beskriver denne pardannelsesproces:
Indsæt et PIV Smart Card eller hårdt token, der omfatter godkendelses- og krypteringsidentiteter.
Vælg Dan par i notifikationsdialogen.
Angiv godkendelsesoplysninger til administratorkontoen (brugernavn/adgangskode).
Angiv den fire- til seks-cifrede PIN-kode (Personal Identification Number) til det indsatte Smart Card.
Log ud, og brug Smart Card og PIN-koden til at logge ind igen.
Pardannelse med lokal konto kan også gennemføres via kommandolinjen og en eksisterende konto. Du kan få flere oplysninger i Konfigurer en Mac til godkendelse udelukkende med Smart Card.
Attributoverførsel med Active Directory
Smart Cards kan godkendes i forhold til Active Directory vha. attributoverførsel. Denne metode kræver et system, der er knyttet til Active Directory, og indstilling af relevante matchende felter i arkivet /private/etc/SmartcardLogin.plist. Dette arkiv skal have tilladelser, der kan læses af alle brugere, for at fungere, som det skal. Følgende felter i PIV Authentication-certifikatet kan bruges til at tilknytte attributter til tilhørende værdier i bibliotekskontoen:
Almindeligt navn
RFC 822 Name (email address)
Navn på NT-agent
Organisation
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Land
Flere felter kan også sammenkædes for at opnå en matchende værdi i biblioteket.
Inden brugeren kan benytte denne funktion, skal brugerens Mac konfigureres med den relevante attributoverførsel, og brugergrænsefladen til lokal pardannelse skal være slået fra. En bruger skal have lokale administratortilladelser for at fuldføre denne opgave.
Du slår dialogen til lokal pardannelse fra ved at åbne appen Terminal og indtaste:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Brugerne kan derefter indtaste sin adgangskode, når der bedes om den.
Når konfigurationen af Mac-computeren er gennemført, skal en bruger bare indsætte et Smart Card eller token for at oprette en ny brugerkonto. Brugeren bliver bedt om at indtaste sin PIN-kode og oprette en unik nøgleringsadgangskode, der indpakkes af krypteringsnøglen i Smart Card. Konti kan konfigureres som netværksbrugerkonti eller mobile brugerkonti.
Bemærk: Hvis arkivet /private/etc/SmartcardLogin.plist findes, anvendes det frem for parrede lokale konti.
Netværksbrugerkonto med eksempel på attributoverførsel
Nedenfor er et eksempel på arkivet SmartcardLogin.plist, hvor overførsel forbinder det almindelige navn og navnet på RFC 822 i PIV-godkendelsescertifikatet med attributten longName i Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Mobil brugerkonto med eksempel på attributoverførsel
Ved tilknytning til Active Directory skal indstillingen “Opret mobil konto ved log ind” vælges, da den giver mulighed for at oprette mobile konti til offlinelogin. Denne funktion understøttes med Kerberos-attributoverførsel og bør konfigureres i arkivet Smartcardlogin.plist. Denne konfiguration er også nyttig i miljøer, hvor en Mac muligvis ikke altid kan få forbindelse med biblioteksserveren. Første kontoindstilling kræver dog sammenkædning af maskiner og adgang til biblioteksserveren.
Bemærk: Hvis du anvender mobile konti, skal det første login bruge kontoens tilknyttede adgangskode, første gang der oprettes en konto. Denne proces sikrer, at der indhentes et sikkert token, så yderligere login kan låse op for FileVault. Efter det første adgangskodebaserede login kan der kun anvendes godkendelse med Smart Card.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Slå skærmskåneren til, når token fjernes
Skærmskåneren kan konfigureres til at starte automatisk, når en bruger fjerner sit token. Denne mulighed vises kun, når et Smart Card er blevet parret. Dette kan gøres på to måder:
Gå til indstillingerne til Anonymitet & sikkerhed på Mac, brug knappen Avanceret, og vælg “Aktiver skærmskåner, når log ind-token er fjernet”. Sørg for at skærmskånerindstillingerne er konfigureret, og vælg muligheden for at kræve en adgangskode umiddelbart efter vågeblus eller skærmskåner starter.*
I en MDM-løsning ved at bruge nøglen
tokenRemovalAction.