Een smartcard gebruiken op de Mac
De standaardmethode voor het gebruik van smartcards op een Mac is dat een smartcard wordt gekoppeld aan een lokale account. Deze methode wordt automatisch toegepast wanneer een gebruiker een smartcard in een kaartlezer plaatst die is aangesloten op een computer. De gebruiker wordt gevraagd om de kaart te 'koppelen' met de eigen account. Aangezien koppelingsgegevens worden bewaard in de lokale adreslijstaccount van een gebruiker, is hiervoor beheerderstoegang vereist. Deze methode wordt koppeling met een lokale account genoemd. Als een gebruiker de kaart niet koppelt wanneer daarom wordt gevraagd, kan de kaart nog steeds worden gebruikt voor toegang tot websites maar is inloggen bij de gebruikersaccount met de smartcard niet mogelijk. Smartcards kunnen ook worden gebruikt met een adreslijstvoorziening. Om in te loggen met de smartcard, moet deze gekoppeld of geconfigureerd zijn om te werken met een adreslijstvoorziening.
Koppelen met een lokale account
De onderstaande stappen beschrijven hoe het koppelen met een lokale account in zijn werk gaat:
Plaats een PIV-smartcard of hardwaretoken met daarop identiteiten voor authenticatie en encryptie.
Selecteer 'Koppel' in het dialoogvenster dat verschijnt.
Vul de inloggegevens van een beheerdersaccount in (gebruikersnaam en wachtwoord).
Vul de pincode van vier tot zes cijfers voor de geplaatste smartcard in.
Log uit en gebruik de smartcard en de pincode om weer in te loggen.
Koppelen met een lokale account kan ook met behulp van de commandoregel en een bestaande account. Zie Een Mac configureren voor verplichte authenticatie met een smartcard voor meer informatie.
Kenmerktoewijzing met Active Directory
Smartcards kunnen worden gebruikt voor Active Directory-authenticatie met behulp van kenmerktoewijzing. Voor deze methode is een aan Active Directory gekoppeld systeem nodig en moeten de juiste gegevens worden ingesteld in het bestand /private/etc/SmartcardLogin.plist. De leesbevoegdheden voor dit bestand moeten zijn ingesteld op 'world' om het goed te laten functioneren. De volgende velden in het certificaat voor PIV-authenticatie kunnen worden gebruikt om kenmerken toe te wijzen aan corresponderende waarden in de adreslijstaccount:
Normale naam
RFC 822-naam (e‑mailadres)
NT-principalnaam
Organisatie
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Land
Meerdere velden kunnen worden aaneengeschakeld om een overeenkomende waarde in de adreslijst te genereren.
Voordat de gebruiker deze voorziening kan gebruiken, moet de Mac worden geconfigureerd met de juiste kenmerktoewijzing en moet de gebruikersinterface voor lokale koppeling zijn uitgeschakeld. Een gebruiker moet beschikken over de bevoegdheden van een lokale beheerder om deze taak uit te voeren.
Om het dialoogvenster voor lokale koppeling uit te schakelen, open je de Terminal-app en typ je het volgende:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
De gebruiker kan dan een wachtwoord invoeren als daarom wordt gevraagd.
Zodra de Mac is geconfigureerd, hoeft een gebruiker alleen nog maar een smartcard of token te plaatsen om een nieuwe gebruikersaccount aan te maken. De gebruiker wordt gevraagd om de pincode in te voeren en een uniek sleutelhangerwachtwoord aan te maken dat wordt verpakt in de encryptiesleutel in de smartcard. Er kunnen accounts worden geconfigureerd voor netwerkgebruikers of mobiele gebruikers.
Opmerking: De aanwezigheid van het bestand /private/etc/SmartcardLogin.plist heeft voorrang op gekoppelde lokale accounts.
Voorbeeld van netwerkgebruikersaccount met kenmerktoewijzing
Hieronder zie je een voorbeeld van het bestand SmartcardLogin.plist waarin de normale naam (Common Name) en de RFC 822-naam in het certificaat voor PIV-authenticatie door middel van toewijzing worden gekoppeld aan het kenmerk longName in Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Voorbeeld van mobielegebruikersaccount met kenmerktoewijzing
Als je bij koppeling aan Active Directory de optie 'Maak mobiele account aan tijdens inloggen' selecteert, is het mogelijk mobiele accounts aan te maken waarmee offline kan worden ingelogd. Deze functie voor mobiele gebruikers wordt ondersteund met de Kerberos-kenmerktoewijzing en moet worden geconfigureerd in het bestand Smartcardlogin.plist. Deze configuratie is ook nuttig in omgevingen waar een Mac mogelijk niet altijd verbinding kan maken met de adreslijstserver. Als voor het eerst een account wordt geconfigureerd, is echter koppeling met de computer en toegang tot de adreslijstserver vereist.
Opmerking: Als je mobiele accounts gebruikt, moet je de eerste keer dat je een mobiele account aanmaakt inloggen met het bijbehorende wachtwoord van de account. Zo zorg je ervoor dat een Secure Token wordt opgevraagd waarmee FileVault kan worden ontgrendeld als je weer inlogt. Na de eerste keer te zijn ingelogd met een wachtwoord, kun je authenticatie met een smartcard gebruiken.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Schermbeveiliging inschakelen bij verwijderen van token
De schermbeveiliging kan zo worden ingesteld dat deze automatisch wordt gestart wanneer gebruikers hun token verwijderen. Deze optie verschijnt pas nadat een smartcard is gekoppeld. Dit kan op twee manieren worden gedaan:
Klik in de instellingen voor 'Privacy en beveiliging' op de Mac op de knop 'Geavanceerd' en selecteer 'Schakel schermbeveiliging in als het inlogtoken wordt verwijderd'. Zorg dat de instellingen voor de schermbeveiliging zijn geconfigureerd en selecteer 'Vraag om wachtwoord meteen na start van sluimerstand of schermbeveiliging'.
Door de sleutel
tokenRemovalActionte gebruiken in een MDM-oplossing (Mobile Device Management).