Usar um smart card no Mac
O método predefinido de utilização de smart cards em computadores Mac é emparelhar um smart card para uma conta de utilizador local; este método ocorre automaticamente quando um utilizador insere o respetivo cartão num leitor de cartões ligado a um computador. O utilizador é avisado para “emparelhar” o cartão com a sua conta e é necessário acesso de administrador para realizar essa tarefa (devido ao emparelhamento de informação que está a ser armazenada na conta do diretório local). Esse método é designado de emparelhamento de conta local." Se um utilizador não emparelhar o respetivo cartão quando for solicitado, o utilizador continua a poder usar o cartão para aceder a websites, mas não consegue iniciar sessão na respetiva conta de utilizador com o smart card. Os smart cards também podem ser usados com um serviço de diretório. Para usar o smart card para iniciar sessão, o smart card tem de estar emparelhado ou configurado para funcionar com um serviço de diretório.
Emparelhamento de conta local
Os passos abaixo descrevem o processo de emparelhamento de conta local:
Insira um token fixo ou smart card PIV que inclua identidades de autenticação e cifragem.
Selecione “Emparelhar” na caixa de diálogo.
Forneça as credenciais da conta de administrador (nome de utilizador/palavra-passe).
Forneça o número de identificação pessoal (PIN) de quatro a seis dígitos do smart card inserido.
Termine sessão e use o smart card e o PIN para voltar a iniciar sessão.
O emparelhamento de conta local também pode ser efetuado com a linha de comandos e uma conta existente. Encontrará informação adicional em Configurar um Mac para a autenticação apenas através de smart card.
Mapeamento de atributos com Active Directory
Os smart cards podem ser autenticados com Active Directory através do mapeamento de recursos. Para este método, é necessário ter um sistema ligado a Active Directory e definir informação adequada no /private/etc/SmartcardLogin.plist. Para funcionar corretamente, este ficheiro precisa de ter permissões legíveis por qualquer utilizador. Os seguintes campos no certificado de autenticação PIV podem ser usados para mapear atributos aos valores correspondentes na conta do diretório:
Nome comum.
Nome RFC 822 (endereço de e-mail).
NT Principal Name (Nome principal de NT).
Organização.
OrganizationalUnit:1.
OrganizationalUnit:2.
OrganizationalUnit:3.
País.
Também podem ser concatenados vários campos para produzir um valor coincidente no diretório.
Antes de o utilizador poder beneficiar desta funcionalidade, o Mac tem de ser configurado com o mapeamento de atributos adequado e a interface de utilizador de emparelhamento local tem de ser desativada. É necessário que o utilizador tenha permissões de administrador local para realizar esta tarefa.
Para desativar a caixa de diálogo de emparelhamento local, abra a aplicação Terminal e, depois, digite:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
O utilizador pode depois introduzir a palavra-passe quando lhe for solicitado.
Assim que o Mac for configurado, o utilizador insere simplesmente um smart card ou token para criar uma nova conta de utilizador. O utilizador terá de digitar o respetivo PIN e criar uma palavra‑passe de porta‑chaves exclusiva, que é ajustada pela chave de cifragem no smart card. Podem ser configuradas contas para contas de utilizadores de rede ou contas de utilizadores móveis.
Nota: a presença do ficheiro /private/etc/SmartcardLogin.plist toma precedência sobre as contas locais emparelhadas.
Exemplo de conta de utilizador de rede com mapeamento de atributos
Abaixo está um exemplo de um ficheiro SmartcardLogin.plist em que o mapeamento correlaciona o Nome comum e o Nome RFC 822 no certificado de autenticação PIV com o atributo longName
no Active Directory:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>Common Name</string>
<string>RFC 822 Name</string>
</array>
<key>formatString</key>
<string>$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeNative:longName</string>
</dict>
</dict>
</plist>
Exemplo de conta de utilizador móvel com mapeamento de atributos
Ao ligar ao Active Directory, selecione a preferência “Criar conta móvel ao iniciar sessão” para permitir contas móveis para início de sessão offline. Esta funcionalidade de utilizador móvel é suportada com o mapeamento de atributos de Kerberos e configurada no ficheiro Smartcardlogin.plist. Esta configuração também é útil em ambientes em que um Mac nem sempre consegue contactar o servidor de diretório. No entanto, a configuração inicial da conta requer a ligação de computadores e acesso ao servidor de diretório.
Nota: se estiver a usar contas móveis, é criada uma na primeira utilização, o início de sessão tem de usar a palavra-passe associada da conta. Este processo garante que é obtido um token seguro para que inícios de sessão posteriores possam desbloquear o FileVault. Após o inicio de sessão inicial baseado em palavra-passe, pode ser usada a autenticação apenas através de smart card.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Ativar a proteção de ecrã durante a remoção de tokens
Pode configurar a proteção de ecrã para ser iniciada automaticamente quando um utilizador remove o respetivo token. Esta opção só é apresentada após o emparelhamento de um smart card. Pode efetuar esta operação de duas formas principais:
Nas definições de Segurança e Privacidade no Mac, use o botão “Avançadas” e selecione “Ativar proteção de ecrã quando o token de início de sessão é removido”. Certifique-se de que as definições de proteção de ecrã estão configuradas e, em seguida, selecione "Pedir palavra-passe imediatamente após ativação do modo de pausa ou da proteção de ecrã".
Com uma solução de gestão de dispositivos móveis (MDM), use a chave
tokenRemovalAction
.