Usar una tarjeta inteligente en la Mac
El método predeterminado para usar una tarjeta inteligente en las computadoras Mac es enlazar una tarjeta inteligente con una cuenta de usuario local; este método se realiza automáticamente cuando un usuario inserta su tarjeta en un lector de tarjetas conectado a una computadora. Se pide al usuario que “enlace” la tarjeta con su cuenta, lo cual requiere acceso de administrador porque la información de enlace se almacena en la cuenta del directorio local del usuario. Este método se denomina enlace de cuenta local. Si un usuario no enlaza su tarjeta cuando se le pide, puede seguir utilizando la tarjeta para acceder a sitios web, pero no puede acceder a su cuenta de usuario con la tarjeta inteligente. Las tarjetas inteligentes también pueden usarse con un servicio de directorio. Para usar la tarjeta inteligente para iniciar sesión, la tarjeta debe estar enlazada o configurada para funcionar con un servicio de directorio.
Enlace de cuenta local
A continuación se describe el proceso de enlace de cuenta local:
Inserta una tarjeta inteligente con PIV o un identificador físico que incluya identidades de autenticación y encriptación.
Selecciona Enlazar en el cuadro de diálogo de la notificación.
Proporciona las credenciales de una cuenta de administrador (nombre de usuario/contraseña).
Ingresa el número de identificación personal (PIN), un código de cuatro a seis dígitos, de la tarjeta que insertaste.
Cierra sesión y luego usa la tarjeta inteligente y el PIN para volver a iniciar sesión.
El enlace de cuenta local también se puede realizar con la línea de comandos y una cuenta existente. Para obtener más información, consulta Configurar una Mac para la autenticación sólo con tarjeta inteligente.
Asignación de atributos con Active Directory
La autenticación de las tarjetas inteligentes con Active Directory puede realizarse mediante la asignación de atributos. Este método implica tener un sistema vinculado a Active Directory y configurar los campos correspondientes en el archivo /private/etc/SmartcardLogin.plist. Este archivo debe tener permisos de lectura global para funcionar correctamente. Los siguientes campos del certificado de autenticación PIV pueden usarse para asignar atributos a los valores correspondientes en la cuenta del directorio:
Nombre común
Nombre RFC 822 (dirección de correo electrónico)
Nombre principal de NT
Organización
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
País
También se pueden concatenar varios campos para producir un valor coincidente en el directorio.
Para que el usuario pueda aprovechar esta característica, es necesario configurar su Mac con la asignación de atributos adecuada y desactivar la interfaz de usuario de enlace local. El usuario debe tener permisos de administrador local para realizar esta tarea.
Para desactivar el cuadro de diálogo de enlace local, abre la app Terminal e ingresa:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
El usuario puede ingresar su contraseña cuando se le pida.
Una vez que la Mac esté configurada, el usuario sólo debe insertar una tarjeta o identificador para crear una nueva cuenta de usuario. Se le pide que ingrese su código y cree una contraseña única para el llavero, la cual queda protegida por la clave de encriptación de la tarjeta inteligente. Es posible configurar cuentas para cuentas de usuario de red o cuentas de usuario móviles.
Nota: la presencia del archivo /private/etc/SmartcardLogin.plist tiene prioridad sobre las cuentas locales enlazadas.
Cuenta de usuario de red con ejemplo de asignación de atributos
A continuación se muestra un archivo SmartcardLogin.plist de ejemplo donde la asignación correlaciona el Nombre común y el Nombre RFC 822 en el certificado de autenticación PIV para que coincida con el atributo longName de Active Directory:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict></dict></plist>Cuenta de usuario móvil con ejemplo de asignación de atributos
Durante la vincularse a Active Directory, selecciona la preferencia Crear cuenta móvil al iniciar sesión para permitir la creación de cuentas móviles para el inicio de sesión sin conexión a Internet. Esta función para usuarios móviles es compatible con la asignación de atributos de Kerberos, y se configura en el archivo Smartcardlogin.plist. Esta configuración también es útil en entornos en los que una Mac no siempre puede llegar al servidor de directorios. Sin embargo, la configuración inicial de la cuenta requiere un enlace a la máquina y acceso al servidor de directorio.
Nota: si usas cuentas móviles, la primera vez que creas una, debes usar la contraseña asociada de la cuenta en el primer inicio de sesión. Este proceso asegura que se obtiene un identificador seguro para poder desbloquear FileVault en los siguientes inicios de sesión. Tras el primer inicio de sesión con contraseña, se puede usar la autenticación sólo con tarjeta inteligente.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict></dict></plist>Activar el protector de pantalla al eliminar un identificador
El protector de pantalla se puede configurar para que se inicie automáticamente cuando un usuario elimina su identificador. Esta opción aparece sólo después de enlazar una tarjeta inteligente. Hay dos formas de lograrlo:
En el panel de configuración Seguridad y privacidad de la Mac, usa el botón Avanzado y selecciona Activar el protector de pantalla cuando el identificador de inicio de sesión se haya eliminado. Asegúrate de establecer la configuración del protector de pantalla, y luego selecciona Solicitar contraseña inmediatamente después de iniciarse el reposo o el protector de pantalla.
En una solución de administración de dispositivos móviles (MDM), usa la clave
tokenRemovalAction.