Intelligens kártya használata a Macen
Mac számítógépen az intelligens kártyák használatához megadott alapértelmezett módszer párosítja az intelligens kártyát egy helyi felhasználóval; ez a módszer automatikusan végbemegy, amikor a felhasználó behelyezi a kártyáját a számítógéphez csatlakoztatott kártyaolvasóba. A rendszer felszólítja a felhasználót, hogy „párosítsa” a kártyát a fiókjával, és ehhez adminisztrátori hozzáférésre van szüksége (a felhasználó helyi könyvtárfiókjában tárolt párosítási információk miatt) Ezt a módszert helyi fiókpárosításnak nevezik. Ha a felhasználó nem párosítja a kártyát, amikor a rendszer kéri, akkor továbbra is hozzáférhet webhelyekhez a kártya segítségével, azonban nem fog tudni bejelentkezni a felhasználói fiókjába az intelligens kártyával. Az intelligens kártyák igény szerint címtárszolgáltatásokkal is használhatók. Ha az intelligens kártyát bejelentkezéshez szeretné használni, úgy kell párosítania vagy konfigurálnia, hogy a kártya működjön egy címtárszolgáltatással.
Helyi fiókpárosítás
A helyi fiókpárosítási folyamat lépései a következők:
Helyezzen be egy olyan PIV intelligens kártyát vagy fizikai kártyát, amely hitelesítési és titkosítási identitásokkal rendelkezik.
Válassza ki a Párosítás lehetőséget az értesítési párbeszédpanelen
Adja meg az adminisztrátori fiók hitelesítő adatait (felhasználónév és jelszó).
Adja meg a behelyezett intelligens kártya négy-hat számjegyből álló személyes azonosítószámát (PIN).
Jelentkezzen ki, majd jelentkezzen be ismét az intelligens kártyával és a PIN-kóddal.
A helyi fiókpárosítás a parancssor használatával vagy egy meglévő fiókkal is elvégezhető. További információk: A Mac konfigurálása a kizárólag intelligens kártyával történő hitelesítéshez.
Attribútumok leképezése az Active Directoryval
Az intelligens kártyák attribútumleképezéssel is hitelesíthetők az Active Directoryban. Ennél a módszernél rendelkezni kell egy olyan rendszerrel, amely kapcsolódik az Active Directoryhoz, és meg kell adni a megfelelő adatokat a /private/etc/SmartcardLogin.plist fájlban. A megfelelő működés érdekében a fájlnak globálisan olvasható engedélyekkel kell rendelkeznie. A következő mezők PIV-hitelesítési tanúsítványa használható az attribútumok megfelelő értékekhez való leképzéséhez a könyvtárfiókban:
Közös név
RFC 822 név (e-mail-cím)
NT Principal Name (NT-elöljáró neve)
Szervezet
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Ország
Több mező egyesíthető, hogy egyezzen az érték a könyvtárban.
Mielőtt a felhasználó elkezdhetné használni ezt a funkciót, a Macjüket a megfelelő attribútumleképezéssel kell konfigurálni, és a helyi párosítást végző felhasználó felületét le kell tiltani. A felhasználónak helyi adminisztrátor-jogosultsággal kell rendelkeznie a feladat végrehajtásához.
A helyi párosítás párbeszédpanelének letiltásához nyissa meg a Terminal appot, és írja be a következőt:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
A felhasználó beírhatja a jelszavát, ha felszólítják rá.
A Mac konfigurálásának elvégzése után a felhasználónak csak be kell helyeznie az intelligens kártyát vagy a tokent, és létre kell hoznia egy új felhasználói fiókot. A rendszer megkéri a felhasználót, hogy adja meg a PIN-kódját, és hozzon létre egy olyan egyedi kulcskarika-jelszót, amely a titkosítási kulccsal van körbefuttatva az intelligens kártyán. A fiókokat hálózati felhasználói fiókokhoz vagy mobil felhasználói fiókokhoz lehet konfigurálni.
Megjegyzés: A /private/etc/SmartcardLogin.plist fájl jelenléte felülírja a párosított helyi fiókokat.
Példa egy attribútumleképezéssel konfigurált hálózati felhasználói fiókra
Az alábbiakban megtekinthet egy példát a SmartcardLogin.plist fájlra, amelyben a leképezés hozzárendeli a PIV-hitelesítési tanúsítványon szereplő Közös nevet és az RFC 822-nevet, hogy megfeleljen az Active Directoryban szereplő longName attribútumnak:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Példa egy attribútumleképezéssel konfigurált mobil felhasználói fiókra
Ha az Active Directoryhoz való kapcsolódáskor a „Mobilfiók létrehozása a bejelentkezéskor” beállítás ki van választva, mobilfiókokat lehet létrehozni offline bejelentkezés céljából. Ez a mobil felhasználói funkció Kerberos attribútumleképezéssel van támogatva, és a Smartcardlogin.plist fájlban konfigurálható. Ez a konfiguráció olyan környezetekben is hasznos lehet, ahol a Macek nem mindig tudják elérni a címtárszervert. Azonban a kezdeti fiókbeállításhoz csatlakoztatni kell a gépet, és hozzáférést kell biztosítani a címtárszerverhez.
Megjegyzés: Ha mobilfiókokat használ, az első létrehozásakor a kezdeti bejelentkezésnek a fiókhoz társított jelszót kell használnia. Ez a folyamat biztosítja, hogy megszerzésre kerüljön a biztonságos token, amely képes feloldani a FileVaultot. A kezdeti jelszóval történő bejelentkezést követően a hitelesítés lehetséges kizárólag az intelligens kártya használatával.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Képernyővédő bekapcsolása a token eltávolításakor
Igény szerint beállítható, hogy a képernyővédő automatikusan elinduljon, amikor a felhasználó eltávolítja a tokenjét. Ez a lehetőség csak egy intelligens kártya párosítását követően jelenik meg. Ehhez két fő módszer áll rendelkezésre:
A Macen lévő Biztonság és adatvédelem beállításokban, a Haladó gomb használata és a „Képernyővédő bekapcsolása a bejelentkezési token eltávolításakor” négyzet bejelölése. Győződjön meg arról, hogy a képernyővédő beállításai konfigurálva vannak, és jelölje be a „Jelszó igénylése rögtön az alvás után vagy a képernyővédő indulásakor” jelölőnégyzetet.
Egy mobileszköz-felügyeleti (MDM) megoldásban használja a
tokenRemovalActionkulcsot.