Používanie kariet Smart Card na Macu
Keď užívateľ vloží kartu do čítačky pripojenej k počítaču, predvolená metóda použitia kariet Smart Card na počítačoch Mac je spárovať smart card s lokálnym užívateľským účtom. Táto metóda prebehne automaticky. Užívateľ bude vyzvaný na „spárovanie” karty s jeho účtom a na vykonanie tejto úlohy sa vyžiada prístup správcu (keďže informácie o párovaní sa ukladajú do adresára lokálneho účtu). Táto metóda sa volá párovanie lokálneho účtu. Ak užívateľ po zobrazení výzvy kartu nespáruje, môže ju stále používať na prístup k webovým stránkam, ale nemôže sa s ňou prihlásiť do svojho užívateľskému účtu. Čipové karty je možné používať aj v kombinácii s adresárovou službou. Na prihlásenie možno čipovú kartu použiť len vtedy, ak je spárovaná s účtom alebo nakonfigurovaná na prácu s adresárovou službou.
Párovanie s lokálnym účtom
Proces párovania s lokálnym účtom prebieha v nasledujúcich krokoch:
Vložte kartu Smart Card s podporou štandardu PIV alebo hardvérový token obsahujúci identity na vykonanie autentifikácie a šifrovanie.
V dialógovom okne hlásenia vyberte možnosť Spárovať.
Zadajte prihlasovacie údaje účtu správcu (užívateľské meno a heslo).
Zadajte 4- až 6-miestne osobné identifikačné číslo (PIN) vloženej karty Smart Card.
Odhláste sa a potom sa znovu prihláste pomocou karty Smart Card a PIN kódu.
Kartu možno s lokálnym účtom spárovať aj pomocou príkazového riadka a použiť na to existujúci účet. Viac informácií nájdete v téme Nakonfigurovanie Macu na autentifikáciu len pomocou karty Smart Card.
Mapovanie atribútov pomocou služby Active Directory
Karty Smart Card umožňujú autentifikáciu v službe Active Directory pomocou mapovania atribútov. Táto metóda vyžaduje systém zviazaný so službou Active Directory a nastavenie potrebných zhodných polí v súbore /private/etc/SmartcardLogin.plist. Na správne fungovanie musí mať tento súbor všeobecné práva na čítanie. Na mapovanie atribútov s príslušnými hodnotami v adresári účtu je možné použiť tieto polia v certifikáte autentifikácie PIV:
Všeobecný názov
Názov RFC 822 (emailová adresa)
NT Principal Name
Organizácia
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
Krajina
Viaceré polia je takisto možné zložiť a vytvoriť tak v adresári zhodnú hodnotu.
Aby mohol užívateľ túto funkciu využívať, jeho Mac musí mať nakonfigurované zodpovedajúce mapovanie atribútov a užívateľské rozhranie lokálneho párovania musí byť vypnuté. Na dokončenie tejto úlohy musí mať užívateľ práva lokálneho správcu.
Ak chcete vypnúť dialógové okno lokálneho párovania, otvorte apku Terminál a napíšte:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Užívateľ môže následne po vyzvaní zadať svoje heslo.
Po nakonfigurovaní Macu môže užívateľ vytvoriť nový užívateľský účet jednoduchým vložením karty smart card alebo tokenu. Potom sa mu zobrazí výzva na zadanie PIN kódu a vytvorenie jedinečného hesla kľúčenky, ktoré bude zabalené do šifrovacieho kľúča na karte Smart Card. Účty možno nakonfigurovať ako sieťové alebo mobilné užívateľské účty.
Poznámka: Prítomnosť súboru /private/etc/SmartcardLogin.plist file preberá prioritu nad spárovanými lokálnymi účtami.
Príklad sieťového užívateľského účtu s mapovaním atribútov
Nižšie je uvedený príklad súboru SmartcardLogin.plist, kde mapovanie koreluje Všeobecný názov a názov RFC 822 v autentifikačnom certifikáte PIV na zhodu s atribútom longName v službe Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Príklad mobilného užívateľského účtu s mapovaním atribútov
Pri vytváraní väzby k službe Active Directory výberom nastavenia „Vytvoriť mobilný účet pri prihlásení“ povolíte mobilných účtom prihlasovanie v režime offline. Táto funkcia mobilného užívateľa je podporovaná pri použití mapovania atribútu Kerberos a možno ju nakonfigurovať v súbore Smartcardlogin.plist. Rovnaká konfigurácia je užitočná aj v prostrediach, v ktorých Mac nemusí mať vždy prístup k adresárovému serveru. Úvodné nastavenie účtu však vyžaduje naviazanie zariadenia a prístup k adresárovému serveru.
Poznámka: Ak používate mobilné účty, musí byť pri prvom vytvorení účtu použité priradené heslo účtu. Tento proces zaistí získanie secure tokenu, ktorý pri následných prihláseniach umožní odomknutie FileVaultu. Po úvodnom prihlásení pomocou hesla je možné použiť overovanie iba pomocou karty Smart Card.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Zapnutie šetriča obrazovky pri odstránení tokenu
Šetrič obrazovky možno nakonfigurovať tak, aby sa spúšťal automaticky, keď užívateľ vyberie token. Táto možnosť sa zobrazí až po spárovaní karty Smart Card. Môžete postupovať dvomi hlavnými spôsobmi:
V nastaveniach Súkromie a bezpečnosť na Macu použite tlačidlo Rozšírené a vyberte možnosť „Zapnúť šetrič obrazovky pri odstránení prihlasovacieho symbolu“. Overte, či sú nakonfigurované nastavenia šetriča obrazovky, a potom začiarknite možnosť „Vyžadovať heslo okamžite po zaspaní alebo spustení šetriča obrazovky“.
V riešení správy mobilných zariadení (MDM) použite kľúč
tokenRemovalAction.