Mac에서 스마트 카드 사용하기
Mac 컴퓨터에서 스마트 카드를 사용하는 기본 설정 방식은 스마트 카드를 로컬 사용자 계정에 페어링하는 것입니다. 이 방법은 사용자가 컴퓨터에 부착된 리더기에 카드를 삽입할 때 자동으로 작동합니다. 사용자는 카드를 계정과 ‘페어링’하라는 메시지를 받으며 페어링 정보가 사용자의 로컬 디렉토리 계정에 저장되기 때문에 이 작업을 수행하려면 관리자 접근이 필요합니다. 이 방법은 로컬 계정 페어링이라고 부릅니다. 메시지가 표시되었지만 사용자가 스마트 카드를 페어링하지 않아도 사용자는 스마트 카드를 사용하여 웹사이트에 접근할 수는 있지만 스마트 카드를 사용하여 사용자 계정에 로그인할 수는 없습니다. 스마트 카드는 디렉토리 서비스에도 사용할 수 있습니다. 스마트 카드를 로그인하는 데 사용하려면 스마트 카드를 페어링하거나 디렉토리 서비스에 사용할 수 있도록 구성해야 합니다.
로컬 계정 페어링
다음과 같이 로컬 계정 페어링 절차의 각 단계를 확인하십시오.
PIV 스마트 카드 또는 인증 및 암호화 ID가 포함되어 있는 하트웨어 토큰을 삽입합니다.
알림 대화상자에서 ‘페어링’을 선택합니다.
관리자 계정 자격 증명(사용자 이름/암호)을 제공합니다.
삽입한 스마트 카드에 대한 4~6자리의 디지털 PIN(개인 식별 번호)을 제공합니다.
로그아웃한 다음 스마트 카드와 PIN을 사용하여 다시 로그인합니다.
로컬 계정 페어링은 명령어 라인 및 기존 계정을 사용해서도 할 수 있습니다. 자세한 정보는 Mac에 스마트 카드 전용 인증 구성하기를 참조하십시오.
Active Directory 속성 매핑
스마트 카드로 속성 매핑을 사용 중인 Active Directory를 인증할 수 있습니다. 이 방식을 사용하려면 Active Directory 바인딩 시스템이 있어야 하며 /private/etc/SmartcardLogin.plist 파일에 올바른 일치하는 필드를 설정해야 합니다. 이 파일이 정상적으로 작동하려면 누구나 읽기 가능한 권한이 설정되어 있어야 합니다. PIV 인증용 인증서의 다음 필드는 디렉토리 계정의 해당 값에 대해 속성을 매핑하는 데 사용할 수 있습니다.
일반 이름
RFC 822 이름(이메일 주소)
NT 주체 이름
조직
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
국가
여러 개의 필드를 연결하여 디렉토리에서 일치하는 값을 생성할 수도 있습니다.
사용자가 이 기능을 사용하려면 Mac에서 올바른 속성 매핑을 구성하고 로컬 페어링 사용자 인터페이스를 꺼야 합니다. 사용자가 이 작업을 완료하려면 로컬 관리자 권한이 필요합니다.
로컬 연결 대화상자를 끄려면 터미널 앱을 열고 다음과 같은 명령을 입력하십시오.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
그 다음 메시지가 표시되면 사용자가 암호를 입력할 수 있습니다.
Mac이 구성되면 사용자는 곧바로 스마트 카드 또는 토큰을 삽입하여 새로운 사용자 계정을 생성할 수 있습니다. 그런 다음 PIN을 입력하고 스마트 카드에 있는 암호화 키로 래핑되는 고유 키체인 암호를 생성하라는 메시지가 표시됩니다. 생성하는 계정은 네트워크 사용자 계정 또는 모바일 사용자 계정으로 구성할 수 있습니다.
참고: /private/etc/SmartcardLogin.plist 파일은 연결된 로컬 계정보다 우선합니다.
네트워크 사용자 계정에 속성이 매핑된 예
아래의 예시는 SmartcardLogin.plist 파일에서 매핑이 일반 이름 및 PIV 인증용 인증서의 RFC 822 이름과 Active Directory의 longName 속성이 일치하도록 상관관계를 보여주는 것입니다.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>모바일 사용자 계정에 속성이 매핑된 예
Active Directory에 바인딩하는 경우 '로그인 시 모바일 계정 생성’ 옵션을 선택하면 오프라인으로 로그인할 때에도 모바일 계정을 사용하는 것을 허용합니다. 이 모바일 사용자 기능은 Kerberos 속성 매핑을 통해 지원되며 이 매핑은 Smartcardlogin.plist file. 파일에서 구성됩니다. 이 구성은 또한 Mac이 디렉토리 서버에 항상 연결할 수 없는 환경에서도 유용합니다. 하지만, 초기 계정 설정에는 시스템 바인딩 및 디렉토리 서버에 대한 접근 권한이 요구됩니다.
참고: 모바일 계정을 사용 중인 경우, 처음 계정이 생성되면 초기 로그인 시 계정의 관련 암호를 사용해야 합니다. 이 프로세스를 통해 Secure Token을 확보할 수 있으며 이후 로그인에서 FileVault를 잠금 해제할 수 있습니다. 초기의 암호 기반 로그인 이후 스마트 카드 전용 인증을 사용할 수 있습니다.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>토큰 제거 시에 화면 보호기 활성화하기
사용자가 토큰을 제거하면 화면 보호기가 자동으로 시작되도록 구성할 수 있습니다. 이 옵션은 스마트 카드를 연결한 후에만 나타납니다. 이를 구성하기 위한 다음의 두 가지 방법이 있습니다.
Mac의 개인정보 보호 및 보안 설정에서 고급 버튼을 선택하고 ‘로그인 토큰이 제거되었을 때 화면 보호기 켜기’를 선택하십시오. 화면 보호기 설정을 구성한 다음, '잠자기 또는 화면 보호기 시작 후 바로 암호 요구’ 옵션을 선택하십시오.
tokenRemovalAction키를 사용하여 MDM(모바일 기기 관리) 솔루션을 통해 구성합니다.