在 Mac 上使用智慧卡

Mac 電腦上的預設智慧卡使用方式是將智慧卡與本機用户帳户配對；當用户將卡插入已連接到電腦的讀卡器時，系統就會自動進行此方式。系統會提示用户將卡與其帳户「配對」，並要求管理者權限來執行此操作（因配對資料會儲存在用户的本機目錄帳户）。此方式稱為本機帳户配對。如用户未有在系統提示時配對其卡，用户仍可使用該卡取用網站，但無法使用該智慧卡登入其用户帳户。智慧卡亦可配合目錄服務使用。如要使用智慧卡登入，該智慧卡必須已配對或已設定以配合目錄服務使用。

本機帳户配對

以下步驟描述本機帳户配對的過程：

插入 PIV 智慧卡或包含認證和加密身份的硬件代號。
在通知對話框選擇「配對」。
提供管理員帳户憑證（用户名稱/密碼）。
提供四至六位數字個人身份識別碼（PIN）以插入智慧卡。
登出並使用智慧卡和 PIN 來重新登入。

亦可使用命令列和現有帳户來完成本機帳户配對。詳情請參閲：設定 Mac 以使用智慧卡專用認證。

使用 Active Directory 對應屬性

智慧卡可使用屬性對應針對 Active Directory 進行認證。此方式涉及 Active Directory 綑綁系統，以及在 /private/etc/SmartcardLogin.plist 設定適當的相符欄位。此檔案必須有全局可讀權限以維持正常運作。「PIV 認證」證書中的以下欄位可用來將屬性對應到目錄帳户中的對應值：

一般名稱
RFC 822 名稱（電郵地址）
NT 主要名稱
機構
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
國家

多個欄位也可能會被鏈結以在目錄中產生相符的值。

在用户可運用此功能前，他們的 Mac 必須使用適當的屬性對應進行設定，且必須關閉本機配對用户介面。用户必須擁有本機管理員權限才能完成此操作。

如要關閉本機配對對話，開啟「終端機」，然後輸入：

sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO

然後用户可在系統提示時輸入密碼。

一旦 Mac 完成設定，用户只需插入智慧卡或代號以製作新用户帳户。用户會收到提示要輸入他們的 PIN 碼，並製作獨一無二的鑰匙圈密碼，該密碼會由智慧卡中的加密密鑰封裝。帳户可設定為網絡用户帳户或流動用户帳户。

附註：/private/etc/SmartcardLogin.plist 檔案的存在優先順序高於已配對的本機帳户。

網絡用户帳户和屬性對應範例

以下是 SmartcardLogin.plist 檔案的範例，其將「PIV 認證」證書上的「一般名稱」和「RFC 822 名稱」互相關聯，以符合Active Directory 中的 longName 屬性：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>fields</key>          <array>                <string>Common Name</string>                <string>RFC 822 Name</string>          </array>          <key>formatString</key>          <string>$1</string>          <key>dsAttributeString</key>          <string>dsAttrTypeNative:longName</string>     </dict></dict></plist>

流動用户帳户和屬性對應範例

當綁定至 Active Directory 時，選擇「登入時建立流動帳户」偏好設定會允許流動帳户用於離線登入。此流動用户功能受 Kerberos 屬性對應支援，並在 Smartcardlogin.plist file 中設定。在 Mac 可能無法總是連接目錄伺服器的環境下，此設定十分有用。不過，初始帳户設定需要綁定機器及取用至目錄伺服器。

附註：如你使用流動帳户，在首次製作流動帳户時，必須使用與帳户相關的密碼進行初始登入。此處理程序確保「保安代碼」已被保留，讓後續的登入可以解鎖「檔案保險箱」。在初始的以密碼為基礎的登入後，就可以使用智慧卡專用認證。

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>fields</key>          <array>                <string>NT Principal Name</string>          </array>          <key>formatString</key>          <string>Kerberos:$1</string>          <key>dsAttributeString</key>          <string>dsAttrTypeStandard:AltSecurityIdentities</string>     </dict></dict></plist>

在移除代號時啟用螢幕保護程式

用户可設定以在移除其代號時，螢幕保護程式自動啟動。此選項只在智慧卡配對後出現。用户有兩種做法：

在 Mac 上的「私隱與保安」設定中，使用「進階」按鈕並選取「移除登入代號後開啟螢幕保護程式」。確定已設定螢幕保護程式設定，然後選擇「休眠或螢幕保護程式開始後即需輸入密碼」。
在流動裝置管理（MDM）解決方案中，使用 tokenRemovalAction 密鑰。

也請參閲智慧卡整合簡介 Apple 裝置的「證書」MDM 承載資料設定 Apple 裝置的「智慧卡」MDM 承載資料設定

有幫助？

Apple 平台部署