Mac에서 스마트 카드 사용하기
Mac 컴퓨터에서 스마트 카드를 사용하는 기본 설정 방식은 스마트 카드를 로컬 사용자 계정에 페어링하는 것입니다. 이 방법은 사용자가 컴퓨터에 부착된 리더기에 카드를 삽입할 때 자동으로 작동합니다. 사용자는 카드를 계정과 ‘페어링’하라는 메시지를 받으며 페어링 정보가 사용자의 로컬 디렉토리 계정에 저장되기 때문에 이 작업을 수행하려면 관리자 접근이 필요합니다. 이 방법은 로컬 계정 페어링이라고 부릅니다. 메시지가 표시되었지만 사용자가 스마트 카드를 페어링하지 않아도 사용자는 스마트 카드를 사용하여 웹 사이트에 접근할 수는 있지만 스마트 카드를 사용하여 사용자 계정에 로그인할 수는 없습니다. 스마트 카드는 디렉토리 서비스에도 사용할 수 있습니다. 스마트 카드를 로그인하는 데 사용하려면 스마트 카드를 페어링하거나 디렉토리 서비스에 사용할 수 있도록 구성해야 합니다.
로컬 계정 페어링
다음과 같이 로컬 계정 페어링 절차의 각 단계를 확인하십시오.
PIV 스마트 카드 또는 인증 및 암호화 ID가 포함되어 있는 하트웨어 토큰을 삽입합니다.
알림 대화상자에서 ‘페어링’을 선택합니다.
관리자 계정 자격 증명(사용자 이름/암호)을 제공합니다.
삽입한 스마트 카드에 대한 4~6자리의 디지털 PIN(개인 식별 번호)을 제공합니다.
로그아웃한 다음 스마트 카드와 PIN을 사용하여 다시 로그인합니다.
로컬 계정 페어링은 명령어 라인 및 기존 계정을 사용해서도 할 수 있습니다. 자세한 정보는 Mac에 스마트 카드 전용 인증 구성하기를 참조하십시오.
Active Directory 속성 매핑
스마트 카드로 속성 매핑을 사용 중인 Active Directory를 인증할 수 있습니다. 이 방식을 사용하려면 Active Directory 바인딩 시스템이 있어야 하며 /private/etc/SmartcardLogin.plist 파일에 올바른 일치하는 필드를 설정해야 합니다. 이 파일이 정상적으로 작동하려면 누구나 읽기 가능한 권한이 설정되어 있어야 합니다. PIV 인증용 인증서의 다음 필드는 디렉토리 계정의 해당 값에 대해 속성을 매핑하는 데 사용할 수 있습니다.
일반 이름
RFC 822 이름(이메일 주소)
NT 주체 이름
조직
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
국가
여러 개의 필드를 연결하여 디렉토리에서 일치하는 값을 생성할 수도 있습니다.
사용자가 이 기능을 사용하려면 Mac에서 올바른 속성 매핑을 구성하고 로컬 페어링 사용자 인터페이스를 꺼야 합니다. 사용자가 이 작업을 완료하려면 로컬 관리자 권한이 필요합니다.
로컬 연결 대화상자를 끄려면 터미널 앱을 열고 다음과 같은 명령을 입력하십시오.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
그 다음 메시지가 표시되면 사용자가 암호를 입력할 수 있습니다.
Mac이 구성되면 사용자는 곧바로 스마트 카드 또는 토큰을 삽입하여 새로운 사용자 계정을 생성할 수 있습니다. 그런 다음 PIN을 입력하고 스마트 카드에 있는 암호화 키로 래핑되는 고유 키체인 암호를 생성하라는 메시지가 표시됩니다. 생성하는 계정은 네트워크 사용자 계정 또는 모바일 사용자 계정으로 구성할 수 있습니다.
참고: /private/etc/SmartcardLogin.plist 파일은 연결된 로컬 계정보다 우선합니다.
네트워크 사용자 계정에 속성이 매핑된 예
아래의 예시는 SmartcardLogin.plist 파일에서 매핑이 일반 이름 및 PIV 인증용 인증서의 RFC 822 이름과 Active Directory의 longName
속성이 일치하도록 상관관계를 보여주는 것입니다.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>Common Name</string>
<string>RFC 822 Name</string>
</array>
<key>formatString</key>
<string>$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:longName</string>
</dict>
</dict>
</plist>
모바일 사용자 계정에 속성이 매핑된 예
Active Directory에 바인딩하는 경우 '로그인 시 모바일 계정 생성’ 옵션을 선택하면 오프라인으로 로그인할 때에도 모바일 계정을 사용하는 것을 허용합니다. 이 모바일 사용자 기능은 Kerberos 속성 매핑을 통해 지원되며 이 매핑은 Smartcardlogin.plist file. 파일에서 구성됩니다. 이 구성은 또한 Mac이 디렉토리 서버에 항상 연결할 수 없는 환경에서도 유용합니다. 하지만, 초기 계정 설정에는 시스템 바인딩 및 디렉토리 서버에 대한 접근 권한이 요구됩니다.
참고: 모바일 계정을 사용 중인 경우, 처음 계정이 생성되면 초기 로그인 시 계정의 관련 암호를 사용해야 합니다. 이 프로세스를 통해 Secure Token을 확보할 수 있으며 이후 로그인에서 FileVault를 잠금 해제할 수 있습니다. 초기의 암호 기반 로그인 이후 스마트 카드 전용 인증을 사용할 수 있습니다.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
토큰 제거 시에 화면 보호기 활성화하기
사용자가 토큰을 제거하면 화면 보호기가 자동으로 시작되도록 구성할 수 있습니다. 이 옵션은 스마트 카드를 연결한 후에만 나타납니다. 이를 구성하기 위한 다음의 두 가지 방법이 있습니다.
Mac의 개인정보 보호 및 보안 설정에서 고급 버튼을 선택하고 ‘로그인 토큰이 제거되었을 때 화면 보호기 켜기’를 선택하십시오. 화면 보호기 설정을 구성한 다음, '잠자기 또는 화면 보호기 시작 후 바로 암호 요구’ 옵션을 선택하십시오.
tokenRemovalAction
키를 사용하여 MDM(모바일 기기 관리) 솔루션을 통해 구성합니다.