Usare una smart card sul Mac
Il metodo di default per l’utilizzo di una smart card sul Mac è l’abbinamento di una smart card a un account utente locale. Quando un utente inserisce la propria carta in un lettore collegato a un computer viene utilizzato automaticamente questo metodo. All’utente viene richiesto di “abbinare” la smart card con il proprio account e per eseguire questa operazione è richiesto l’accesso come amministratore, poiché le informazioni relative all’abbinamento sono archiviate nell’account della directory locale dell’utente. Questo metodo è chiamato abbinamento locale all’account. Se un utente non abbina la carta quando richiesto, può continuare a usarla per accedere ai siti web, ma non potrà usarla per accedere al proprio account utente. Le smart card possono essere utilizzate anche con un servizio di directory. Per utilizzare una smart card per il login, deve essere abbinata oppure configurata per il funzionamento con un servizio di directory.
Abbinamento locale all’account
I passaggi successivi descrivono la procedura di abbinamento locale all’account:
Inserisci una smart card o un token hardware PIV che includa identità per autenticazione e crittografia.
Seleziona Abbina nella finestra di dialogo delle notifica.
Fornisci le credenziali dell’account da amministratore (nome utente e password).
Fornisci il PIN di 4-6 cifre della smart card inserita.
Esegui il logout e utilizza la smart card e il PIN per accedere nuovamente.
L’abbinamento locale all’account può essere eseguito anche tramite riga di comando e con un account esistente. Per ulteriori informazioni, consulta Configurare un Mac per l’autenticazione solo con smart card.
Mappatura degli attributi con Active Directory
Le smart card possono essere utilizzate per l’autenticazione ad Active Directory usando la mappatura degli attributi. Questo metodo presuppone la presenza di un sistema basato su Active Directory e l’impostazione dei campi corrispondenti nel file /private/etc/SmartcardLogin.plist. Il file deve avere permessi leggibili da tutti per poter funzionare correttamente. I campi di seguito nel certificato di autenticazione PIV possono essere utilizzati per mappare gli attributi sui valori corrispondenti nell’account della directory:
Nome comune
Nome RFC 822 (indirizzo email)
Nome principale NT
Organizzazione
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Paese
È possibile che più campi siano concatenati per produrre un valore corrispondente nella directory.
Affinché gli utenti possano utilizzare questa funzione, il Mac deve essere configurato con la corretta mappatura degli attributi e l’interfaccia utente per l’abbinamento locale deve essere disabilitata. L’utente deve disporre dei permessi di amministratore per eseguire questa attività.
Per disattivare la finestra di dialogo per l’abbinamento locale, apri Terminale, quindi digita:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Quando gli viene richiesto, l’utente può inserire una password.
Al termine della configurazione del Mac, l’utente deve inserire una smart card o un token per creare un nuovo account utente. All’utente verrà richiesto di inserire il PIN e di creare una password unica per il portachiavi che verrà incapsulata dalla chiave di codifica nella smart card. Gli account possono essere configurati per account utente di rete o per account utente mobili.
Nota: la presenza del file /private/etc/SmartcardLogin.plist ha la precedenza sugli account locali abbinati.
Esempio di account utente di rete con mappatura degli attributi
Di seguito è mostrato un file SmartcardLogin.plist di esempio, in cui la mappatura mette in relazione il nome comune e il nome RFC 822 sul certificato di autenticazione PIV affinché corrisponda all’attributo longName in Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Esempio di account utente mobile con mappatura degli attributi
Durante l’attivazione di Active Directory, seleziona la preferenza “Crea account mobile al momento del login” per autorizzare la creazione di account mobili per il login offline. Questa funzionalità per gli utenti mobili è supportata con la mappatura degli attributi di Kerberos e deve essere configurata nel file Smartcardlogin.plist. Questa configurazione è utile anche in ambienti in cui un Mac potrebbe non essere sempre in grado di raggiungere il server di directory. Tuttavia, la configurazione iniziale dell’account richiede il binding del computer e l’accesso al server della directory.
Nota: se stai utilizzando degli account mobili, la prima volta che ne crei uno, il login iniziale deve utilizzare la password associata dell’account. Questa procedura garantisce che venga ottenuto un token Secure, in modo che i login successivi possano sbloccare FileVault. Dopo il login iniziale tramite password, è possibile utilizzare l’autenticazione tramite la sola smart card.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Abilitare il salvaschermo alla rimozione del token
Puoi configurare il salvaschermo in modo che si avvii automaticamente quando un utente rimuove il proprio token. Questa opzione viene mostrata solo dopo che è stata abbinata una smart card. L’operazione può essere eseguita in due modi principali:
Nelle impostazioni “Privacy e sicurezza” sul Mac, usando il pulsante Avanzate e selezionando “Attiva il salvaschermo quando il token di login viene rimosso”. Assicurati che le impostazioni del salvaschermo siano configurate, quindi seleziona “Richiedi password immediatamente dopo lo standby o l’avvio del salvaschermo”.
In una soluzione MDM, utilizza la chiave
tokenRemovalAction.