Brug Smart Card til Mac
Standardbrug af Smart Card i på Mac-computere er at parre et Smart Card med en lokal brugerkonto. Denne metode forekommer automatisk, når en bruger sætter sit kort i en kortlæser, der er sluttet til en computer. Brugeren bliver bedt om at “parre” kortet med sin konto, og der kræves administratoradgang for at udføre denne opgave (pga. pardannelsesoplysninger, der gemmes i brugerens lokale bibliotekskonto). Denne metode kaldes pardannelse med lokal konto. Hvis en bruger ikke parrer sit kort, når der bliver bedt om det, kan brugeren stadig bruge kortet til at få adgang til websteder, men brugeren kan ikke logge ind på sin brugerkonto med sit Smart Card. Smart Cards kan også bruges sammen med en bibliotekstjeneste. Før et Smart Card kan bruges til at logge ind, skal det enten være parret med eller konfigureret til at samarbejde med en bibliotekstjeneste.
Pardannelse med lokal konto
Nedenstående trin beskriver denne pardannelsesproces:
Indsæt et PIV Smart Card eller hårdt token, der omfatter godkendelses- og krypteringsidentiteter.
Vælg Dan par i notifikationsdialogen.
Angiv godkendelsesoplysninger til administratorkontoen (brugernavn/adgangskode).
Angiv den fire- til seks-cifrede PIN-kode (Personal Identification Number) til det indsatte Smart Card.
Log ud, og brug Smart Card og PIN-koden til at logge ind igen.
Pardannelse med lokal konto kan også gennemføres via kommandolinjen og en eksisterende konto. Du kan få flere oplysninger i Konfigurer en Mac til godkendelse udelukkende med Smart Card.
Attributoverførsel med Active Directory
Smart Cards kan godkendes i forhold til Active Directory vha. attributoverførsel. Denne metode kræver et system, der er knyttet til Active Directory, og indstilling af relevante matchende felter i arkivet /private/etc/SmartcardLogin.plist. Dette arkiv skal have tilladelser, så det kan læses af alle brugere, for at fungere korrekt. Følgende felter i PIV Authentication-certifikatet kan bruges til at tilknytte attributter til tilhørende værdier i bibliotekskontoen:
Almindeligt navn
RFC 822 Name (email address)
Navn på NT-agent
Organisation
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Land
Flere felter kan også sammenkædes for at opnå en matchende værdi i biblioteket, og hvis arkivet SmartcardLogin.plist findes, anvendes det frem for parrede lokale konti.
Inden brugeren kan benytte denne funktion, skal brugerens Mac konfigureres med den relevante attributoverførsel, og brugergrænsefladen til lokal pardannelse skal være slået fra. En bruger skal have lokale administratortilladelser for at gennemføre denne opgave.
Du slår dialogen til lokal pardannelse fra ved at åbne appen Terminal og indtaste:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Brugerne kan derefter indtaste sin adgangskode, når der bedes om den.
Når konfigurationen af Mac-computeren er gennemført, skal en bruger bare indsætte et Smart Card eller token for at oprette en ny brugerkonto. Brugeren bliver bedt om at indtaste sin PIN-kode og oprette en unik nøgleringsadgangskode, der indpakkes af krypteringsnøglen i Smart Card. Konti kan konfigureres som netværksbrugerkonti eller mobile brugerkonti.
Hvis du også vil tillade offlinelogin til mobile konti, skal du vælge indstillingen “Opret mobil konto ved login”. Denne funktion understøttes med Kerberos-attributoverførsel og bør konfigureres i arkivet Smartcardlogin.plist. Denne konfiguration er også nyttig i miljøer, hvor en Mac muligvis ikke altid kan få forbindelse med biblioteksserveren. Første kontoindstilling kræver dog sammenkædning af maskiner og adgang til biblioteksserveren.
Bemærk: Hvis du anvender mobile konti, skal det første login bruge kontoens tilknyttede adgangskode, første gang der oprettes en konto. Denne proces sikrer, at der indhentes et sikkert token, så yderligere login kan låse op for FileVault. Efter det første adgangskodebaserede login kan der kun anvendes godkendelse med Smart Card.
Nedenfor er et eksempel på arkivet SmartcardLogin.plist, hvor overførsel forbinder NT Principal Name på PIV-godkendelsescertifikatet for at matche egenskaben AltSecurityIdentities i den lokale brugerkonto:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:AltSecurityIdentities</string> </dict> </dict></plist>Netværksbrugerkonto med eksempel på attributoverførsel
Nedenfor er et eksempel på arkivet SmartcardLogin.plist, hvor overførsel forbinder det almindelige navn og navnet på RFC 822 i PIV-godkendelsescertifikatet med attributten longName i Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict> </dict></plist>Slå skærmskåneren til, når token fjernes
Skærmskåneren kan konfigureres til at starte automatisk, når en bruger fjerner sit token. Denne mulighed vises kun, når et Smart Card er blevet parret. Dette kan gøres på to måder:
Gå til indstillingerne til Anonymitet & sikkerhed på Mac, brug knappen Avanceret, og vælg “Aktiver skærmskåner, når log ind-token er fjernet”. Sørg for at skærmskånerindstillingerne er konfigureret, og vælg muligheden for at kræve en adgangskode umiddelbart efter vågeblus eller skærmskåner starter.*
I en tjeneste til enhedsadministration ved at bruge nøglen
tokenRemovalAction.