Utiliser une carte à puce sur Mac
Sur les ordinateurs Mac, la méthode par défaut pour l’utilisation d’une carte à puce consiste à jumeler une carte à puce avec un compte utilisateur local ; ce processus se produit automatiquement lorsqu’un utilisateur insère sa carte dans un lecteur de cartes connecté à un ordinateur. L’utilisateur est invité à « jumeler » la carte avec son compte, ce qui nécessite un accès administrateur étant donné que les informations de jumelage sont stockées dans le compte d’annuaire local. Cette méthode désigne le jumelage de compte local. Si un utilisateur ne jumelle pas sa carte lorsqu’il y est invité, il peut tout de même utiliser la carte pour accéder à des sites web, mais il ne peut pas se connecter à son compte utilisateur avec la carte à puce. Les cartes à puce peuvent également être utilisées avec un service d’annuaire. Afin d’utiliser la carte à puce pour ouvrir une session, elle doit être soit jumelée, soit configurée pour fonctionner avec un service d’annuaire.
Jumelage de compte local
Les étapes ci-dessous décrivent le processus de jumelage de compte local :
Insérez une carte à puce PIV ou un jeton matériel qui inclut des identités d’authentification et de chiffrement.
Sélectionnez « Jumeler » dans la zone de dialogue de notification.
Fournissez les informations dʼidentification du compte administrateur (nom d’utilisateur/mot de passe).
Fournissez le numéro d’identification personnel (code PIN) contenant 4 à 6 chiffres pour la carte à puce insérée.
Fermez la session et utilisez la carte à puce et le code PIN pour rouvrir une session.
Le jumelage de compte local peut également être réalisé avec la ligne de commande et un compte existant. Pour plus d’informations, consultez la section Configurer un Mac pour une authentification par carte à puce uniquement.
Mappage d’attributs avec Active Directory
Les cartes à puce peuvent être authentifiées par rapport à Active Directory en utilisant le mappage d’attributs. Cette méthode implique de disposer d’un système lié à Active Directory et de définir des champs correspondants appropriés dans le fichier /private/etc/SmartcardLogin.plist. Ce fichier doit disposer d’autorisations lisibles dans le monde entier afin de fonctionner correctement. Les champs suivants du certificat d’authentification PIV peuvent servir à faire correspondre des attributs et des valeurs dans le compte d’annuaire :
Nom
Nom RFC 822 (adresse e-mail)
Nom principal NT
Organisation
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Pays
Plusieurs champs peuvent également être concaténés de manière à produire une valeur correspondante dans l’annuaire.
Avant que l’utilisateur ne puisse profiter pleinement de cette fonctionnalité, son Mac doit être configuré avec le mappage d’attributs approprié et l’interface utilisateur de jumelage local doit être désactivée. L’utilisateur doit disposer d’autorisations d’administrateur local pour réaliser cette tâche.
Pour désactiver la zone de dialogue de jumelage local, ouvrez l’app Terminal, puis saisissez :
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Lorsqu’il y est invité, l’utilisateur peut ensuite saisir son mot de passe.
Une fois le Mac configuré, il suffit que l’utilisateur insère une carte à puce ou un jeton pour créer un nouveau compte utilisateur. Il est invité à saisir son code PIN et à créer un mot de passe du trousseau unique qui est enveloppé par la clé de chiffrement dans la carte à puce. Les comptes peuvent être configurés pour des comptes utilisateur réseau ou des comptes utilisateur mobiles.
Remarque : la présence du fichier /private/etc/SmartcardLogin.plist prime sur les comptes locaux jumelés.
Exemple de compte utilisateur réseau avec mappage d’attributs
Vous trouverez ci-dessous un exemple de fichier SmartcardLogin.plist où le mappage associe le Nom usuel et le RFC 822 dans le certificat d’authentification PIV à l’attribut longName dans Active Directory :
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Exemple de compte utilisateur mobile avec mappage d’attributs
Lors de la liaison avec Active Directory, sélectionnez la préférence « Créer un compte mobile lors de l’ouverture de session » afin d’autoriser des comptes mobiles pour l’ouverture de session hors ligne. Cette fonctionnalité d’utilisateur mobile est prise en charge avec le mappage d’attributs Kerberos et configurée dans le fichier Smartcardlogin.plist. Cette configuration est également utile dans les environnements où un Mac peut ne pas toujours être en mesure d’atteindre un serveur d’annuaire. Cependant, la configuration de compte initiale requiert la liaison de l’ordinateur ainsi qu’un accès au serveur d’annuaire.
Remarque : si vous utilisez des comptes mobiles, la première fois que l’un d’eux est créé, la première connexion doit utiliser le mot de passe associé du compte. Ce processus garantit qu’un jeton sécurisé est obtenu afin que les prochaines connexions puissent déverrouiller FileVault. Après la première connexion reposant sur un mot de passe, l’authentification par carte à puce uniquement peut être utilisée.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Activation de l’économiseur d’écran à la suppression du jeton
L’économiseur d’écran peut être configuré de façon à ce qu’il démarre automatiquement lorsqu’un utilisateur supprime son jeton. Cette option apparaît uniquement une fois qu’une carte à puce a été jumelée. Vous pouvez procéder principalement de deux façons :
Dans les réglages « Confidentialité et sécurité » sur le Mac, cliquez sur le bouton Avancé et sélectionnez « Lancer l’économiseur lorsque le jeton de session est supprimé ». Assurez-vous que les réglages d’économiseur d’écran sont configurés, puis sélectionnez « Exiger le mot de passe immédiatement après la suspension d’activité ou le lancement de l’économiseur d’écran ».
Dans une solution de gestion des appareils mobiles (MDM), utilisez la clé
tokenRemovalAction.