Usar um smart card no Mac
O método padrão de uso de smart cards em computadores Mac é emparelhar um smart card com uma conta de usuário local; esse método ocorre automaticamente quando um usuário insere seu cartão em um leitor de cartões conectado a um computador. O usuário é solicitado a “emparelhar” o cartão com a sua conta e precisa de acesso de administrador para realizar essa tarefa (porque as informações de emparelhamento são armazenadas na conta de diretório local do usuário). Esse método é chamado de emparelhamento de conta local. Se um usuário não emparelhar o cartão quando solicitado, ele ainda poderá usar o cartão para acessar sites, mas não poderá iniciar uma sessão em sua conta com o smart card. Smart cards também podem ser usados com um serviço de diretório. Para usar o smart card para início de sessão, ele deve estar emparelhado ou configurado para funcionar com um serviço de diretório.
Emparelhamento de conta local
Os passos abaixo descrevem o processo de emparelhamento de conta local:
Insira um smart card PIV ou token físico que inclua identidades de autenticação e criptografia.
Selecione Emparelhar no diálogo de notificação.
Forneça as credenciais da conta do administrador (nome de usuário/senha).
Forneça o número de identificação pessoal (PIN) de quatro a seis dígitos do smart card inserido.
Encerre a sessão, use o smart card com o PIN e inicie a sessão novamente.
O emparelhamento de conta local também pode ser realizado com a linha de comando e uma conta existente. Para obter mais informações, consulte Configurar o Mac para autenticação somente via smart card.
Mapeamento de atributos com o Active Directory
Smart cards podem ser autenticados junto ao Active Directory por meio de mapeamento de atributos. Esse método requer um sistema vinculado ao Active Directory e a configuração de campos correspondentes adequados no arquivo /private/etc/SmartcardLogin.plist. Esse arquivo deve ter permissões legíveis universalmente para funcionar corretamente. Os seguintes campos no certificado de Autenticação PIV podem ser usados para mapear atributos aos valores correspondentes na conta de diretório:
Common Name
RFC 822 Name (endereço de e-mail)
Nome principal de NT
Organization
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Country
Também é possível concatenar vários campos para produzir um valor correspondente no diretório.
Antes que o usuário possa aproveitar esse recurso, o Mac deve estar configurado com o mapeamento de atributo apropriado e a interface de usuário de emparelhamento local deve estar desativada. O usuário precisa de permissões de administrador local para realizar essa tarefa.
Para desativar o diálogo de emparelhamento local, abra o app Terminal e digite:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
O usuário pode inserir a sua senha quando solicitado.
Assim que o Mac é configurado, um usuário simplesmente insere um smart card ou token para criar uma nova conta de usuário. Ele será solicitado a digitar seu PIN e criar uma senha de chaves exclusiva, que será embalada pela chave criptográfica no smart card. É possível configurar contas para usuário de rede ou usuário móvel.
Nota: a presença do arquivo /private/etc/SmartcardLogin.plist prevalece sobre contas locais emparelhadas.
Exemplo de conta de usuário de rede com mapeamento de atributo
Abaixo está um exemplo de um arquivo SmartcardLogin.plist onde o mapeamento correlaciona o Nome Comum e o Nome de RFC 822 no certificado de Autenticação PIV para corresponder ao atributo longName no Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Exemplo de conta de usuário móvel com mapeamento de atributo
Ao vincular ao Active Directory, selecione a preferência “Criar uma conta móvel ao iniciar sessão” para permitir contas móveis para início de sessão off-line. Esse recurso de usuário móvel é compatível com o mapeamento de atributos Kerberos e é configurado no arquivo Smartcardlogin.plist. Essa configuração também é muito útil em ambientes onde um Mac talvez não possa sempre contatar o servidor de diretório. No entanto, a configuração inicial da conta requer o vínculo à máquina e o acesso ao servidor de diretório.
Nota: se você estiver usando contas móveis, quando uma conta for criada pela primeira vez, o primeiro início de sessão precisará usar a senha associada da conta. Esse processo garante que um Secure Token seja obtido para que inícios de sessão posteriores possam desbloquear o FileVault. Depois do primeiro início de sessão com senha, será possível usar a autenticação apenas com o smart card.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Ativação do protetor de tela ao remover o token
Você pode configurar o protetor de tela para iniciar automaticamente quando um usuário remove seu token. Essa opção aparece somente depois que um Smart Card tiver sido emparelhado. Você pode realizar isso de duas maneiras principais:
Nos ajustes de “Privacidade e Segurança” no Mac, clique no botão Avançado e selecione “Ativar o protetor de tela quando o token de início de sessão for removido”. Certifique-se de que os ajustes do protetor de tela estejam configurados e selecione “Exigir senha imediatamente após repouso ou protetor de tela”.
Em uma solução MDM, use a chave
tokenRemovalAction.