Använda ett smart kort för Mac
Den förvalda metoden för användning av smarta kort på Mac-datorer är att koppla ett smart kort till ett lokalt användarkonto – den här metoden sker automatiskt när en användare matar in ett kort i en kortläsare som är ansluten till datorn. Användaren uppmanas att parkoppla kortet till sitt konto och måste ha administratörsåtkomst för att utföra åtgärden (på grund av att parkopplingsinformation lagras i användarens lokala katalogkonto). Den här metoden kallas lokal kontoparkoppling. Om en användare inte parkopplar sitt kort när den uppmanas att göra det kan användaren fortfarande använda kortet till att komma åt webbplatser, men kan inte logga in till sitt användarkonto med det smarta kortet. Smarta kort kan också användas med en katalogtjänst. Om det smarta kortet ska användas för inloggning måste det antingen vara parkopplat eller inställt så att fungerar med en katalogtjänst.
Lokal kontoparkoppling
Stegen nedan beskriver processen för en lokal kontoparkoppling:
Mata in ett smart PIV-kort eller en hård token som innehåller autentiserings- och krypteringsidentiteter.
Välj Parkoppla i notisdialogrutan.
Ange inloggningsuppgifter för ett administratörskonto (användarnamn/lösenord).
Ange den fyr- till sexsiffriga PIN-koden för det inmatade smarta kortet.
Logga ut och logga in igen med det smarta kortet och PIN-koden.
Det går även att skapa en lokal kontoparkoppling via kommandoraden och ett befintligt konto. Mer information finns i Konfigurera en Mac för autentisering endast med smarta kort.
Attributkoppling med Active Directory
Smarta kort kan autentiseras via Active Directory genom att använda attributkoppling. Den här metoden omfattar att ha ett Active Directory-kopplat system och ange lämpliga matchande fält i filen /private/etc/SmartcardLogin.plist. Filen måste ha global läsbehörighet om den ska fungera ordentligt. Följande fält i PIV-autentiseringscertifikatet kan användas till att koppla attribut till motsvarande värden i katalogkontot:
Gemensamt namn
RFC 822-namn (e-postadress)
NT-huvudnamn
Organisation
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Land
Flera fält kan också länkas för att skapa ett matchande värde i katalogen.
Innan användaren kan dra nytta av den här funktionen måste datorn konfigureras med lämplig attributkoppling och användargränssnittet för lokal parkoppling stängas av. Användaren måste ha lokala administratörsbehörigheter för att slutföra den här åtgärden.
Stäng av dialogrutan för lokal parkoppling genom att öppna Terminal och sedan skriva:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Användaren kan sedan ange sitt lösenord när så behövs.
När datorn har konfigurerats kan användare skapa ett nytt användarkonto genom att helt enkelt mata in ett smart kort eller en token. De uppmanas att ange sin PIN-kod och skapa ett unikt nyckelringslösenord som paketeras av krypteringsnyckeln i det smarta kortet. Konton kan konfigureras för nätverksanvändarkonton eller flyttbara användarkonton.
Obs! Närvaron av filen /private/etc/SmartcardLogin.plist går före parkopplade lokala konton.
Exempel på nätverksanvändarkonto med attributkoppling
Nedan är ett exempel på en SmartcardLogin.plist-fil där kopplingen korrelerar Common Name och RFC 822 Name på PIV-autentiseringscertifikatet så att det matchar attributet longName i Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Exempel på flyttbart användarkonto med attributkoppling
Vid koppling till Active Directory är det möjligt att tillåta flyttbara konton för inloggning i nedkopplat läge genom att välja inställningen Skapa flyttbara konton vid inloggning. Den här flyttbara användarfunktionen stöds tack vare Kerberos attributkoppling och konfigureras i filen Smartcardlogin.plist. Den här konfigurationen är också praktisk i miljöer där en Mac kanske inte alltid har tillgång till en katalogserver. Inledande kontoinställning kräver dock datorkoppling och tillgång till katalogservern.
Obs! Om du använder flyttbara konton måste den inledande inloggningen använda det associerade kontolösenordet första gången ett flyttbart konto skapas. Den här processen ser till att en Secure Token erhålls så att kommande inloggningar kan låsa upp FileVault. Efter den inledande lösenordsbaserade inloggningen kan autentisering ske med endast ett smart kort.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Aktivera skärmsläckaren när en token tas bort
Skärmsläckaren kan ställas in på att automatiskt starta när en användare tar bort sin token. Det här alternativet visas endast efter att ett smart kort har parkopplats. Det finns två sätt att göra det här:
I inställningarna Integritet och säkerhet på datorn använder du knappen Avancerat och markerar Aktivera skärmsläckare när inloggnings-ID-bevis tas bort. Se till att skärmsläckarinställningarna är konfigurerade och markera sedan Kräv lösenord direkt efter att viloläge eller skärmsläckare aktiveras.
Med en MDM-lösning genom att använda nyckeln
tokenRemovalAction.