
Gunakan kad pintar pada Mac
Kaedah lalai penggunaan kad pintar pada komputer Mac adalah dengan memasangkan kad pintar pada akaun pengguna setempat; kaedah ini berlaku secara automatik apabila pengguna memasukkan kad mereka ke dalam pembaca kad yang bersambung ke komputer. Pengguna ini digesa untuk “memasangkan” kad dengan akaun mereka dan memerlukan akses pentadbir untuk melaksanakan tugas ini (disebabkan oleh maklumat pemasangan disimpan dalam akaun direktori setempat pengguna) Kaedah ini dipanggil pemasangan akaun setempat. Jika pengguna tidak memasangkan kad mereka apabila digesa, pengguna masih boleh menggunakan kad untuk mengakses tapak web tetapi tidak dapat log masuk ke akaun pengguna mereka dengan kad pintar. Kad Pintar juga boleh digunakan dengan perkhidmatan direktori. Untuk menggunakan kad pintar untuk log masuk, kad pintar perlu dipasangkan atau dikonfigurasikan untuk berfungsi dengan perkhidmatan direktori.
Pemasangan akaun setempat
Langkah di bawah menerangkan proses berpasangan akaun setempat:
Masukkan kad pintar PIV atau token keras yang menyertakan identiti pengesahan dan penyulitan.
Pilih Pasang pada dialog pemberitahuan.
Sediakan kelayakan akaun pentadbir (nama pengguna/kata laluan).
Sediakan nombor identiti peribadi (PIN) empat hingga enam digit untuk kad pintar yang dimasukkan.
Log keluar dan gunakan kad pintar serta PIN untuk log masuk semula.
Pemasangan akaun setempat juga boleh dicapai dengan baris perintah dan akaun sedia ada. Untuk mendapatkan maklumat lanjut, lihat Konfigurasikan Mac untuk pengesahan kad pintar sahaja.
Pemetaan atribut dengan Active Directory
Kad pintar boleh disahkan terhadap Active Directory menggunakan pemetaan atribut. Kaedah ini melibatkan sistem batas Active Directory dan medan sepadan sesuai seting dalam fail /private/etc/SmartcardLogin.plist. Fail ini perlu mempunyai keizinan boleh baca dunia untuk berfungsi dengan betul. Medan berikut dalam sijil Pengesahan PIV boleh digunakan untuk memetakan atribut pada nilai yang sepadan dalam akaun direktori:
Nama Umum
Nama RFC 822 (alamat e-mel)
Nama Prinsipal NT
Organisasi
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Negara
Berbilang medan juga boleh digabungkan untuk menghasilkan nilai sepadan dalam direktori dan kehadiran fail SmartcardLogin.plist mengatasi akaun setempat berpasangan.
Sebelum pengguna boleh memanfaatkan ciri ini, Mac mereka perlu dikonfigurasikan dengan pemetaan atribut yang sesuai dan antara muka pengguna berpasangan setempat perlu dinyahdayakan. Pengguna perlu mempunyai kebenaran pentadbir setempat untuk menyelesaikan tugas ini.
Untuk menyahaktifkan dialog pemasangan setempat, buka app Terminal, kemudian taip:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Pengguna kemudian boleh memasukkan kata laluan mereka apabila digesa.
Sebaik sahaja Mac dikonfigurasikan, pengguna hanya memasukkan kad pintar atau token untuk mencipta akaun pengguna baharu. Mereka digesa untuk memasukkan pin mereka dan mencipta kata laluan rantai kunci unik yang dibalut oleh kunci penyulitan dalam kad pintar. Akaun boleh dikonfigurasikan untuk akaun pengguna rangkaian atau akaun pengguna mudah alih.
Selain itu, untuk membenarkan log masuk luar talian bagi akaun mudah alih, pilih keutamaan “Cipta akaun mudah alih pada masa log masuk”. Ciri pengguna mudah alih ini disokong dengan pemetaan atribut Kerberos dan dikonfigurasikan dalam fail Smartcardlogin.plist. Konfigurasi ini juga berguna dalam persekitaran yang Mac mungkin tidak sentiasa boleh mencapai pelayan direktori. Walau bagaimanapun, persediaan akaun awal memerlukan pengikatan mesin dan akses kepada pelayan direktori.
Nota: Jika anda menggunakan akaun mudah alih, kali pertama akaun dicipta, log masuk awal perlu menggunakan kata laluan akaun yang berkaitan. Proses ini memastikan token selamat diperoleh supaya log masuk selanjutnya boleh membuka kunci FileVault. Selepas log masuk berdasarkan kata laluan awal, pengesahan kad pintar sahaja boleh digunakan.
Berikut ialah contoh fail SmartcardLogin.plist, yang pemetaan berkorelasi dengan Nama Utama NT pada sijil Pengesahan PIV untuk sepadan dengan atribut AltSecurityIdentities
dalam akaun pengguna setempat:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Akaun pengguna rangkaian dengan contoh pemetaan atribut
Di bawah ialah contoh fail SmartcardLogin.plist yang pemetaan mengkolerasikan Nama Biasa dan Nama RFC 822 pada sijil Pengesahan PIV untuk sepadan dengan atribut longName
dalam Active Directory:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>Common Name</string>
<string>RFC 822 Name</string>
</array>
<key>formatString</key>
<string>$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:longName</string>
</dict>
</dict>
</plist>
Mendayakan penyelamat skrin pada pengeluaran token
Penyelamat skrin boleh dikonfigurasikan untuk mula secara automatik apabila pengguna mengeluarkan token mereka. Pilihan ini hanya kelihatan selepas kad pintar telah dipasangkan. Terdapat dua cara utama untuk mencapai ini:
Dalam seting Privasi & Keselamatan pada Mac, gunakan butang Lanjutan dan pilih “Aktifkan penyelamat skrin apabila token log masuk dikeluarkan”. Pastikan seting penyelamat skrin dikonfigurasikan, kemudian pilih "Perlukan kata laluan serta-merta selepas tidur atau penyelamat skrin bermula”.
Dalam perkhidmatan pengurusan peranti, gunakan kunci
tokenRemovalAction
.