与 Active Directory 的属性映射智能卡可使用属性映射针对 Active Directory 进行认证。此方法需要有 Active Directory 绑定系统,并在文件 /private/etc/SmartcardLogin.plist 中设置适当的匹配栏。此文件需要有全局可读许可才能正常工作。PIV 认证证书中的以下栏可用于将属性映射到目录账户中的对应值:
通用名称
RFC 822 名称(电子邮件地址)
NT 主体名称
组织
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
国家/地区
多个栏还可以串联来生成目录中的匹配值,并且 SmartcardLogin.plist 文件的存在优先级高于配对的本地账户。
Mac 需要以适当的属性映射配置并关闭本地配对用户界面,用户才能充分利用此功能。用户需要具有本地管理员许可才能完成此任务。
若要关闭本地配对对话框,请打开“终端” App,然后键入:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
用户随后可在收到提示时输入其密码。
一旦 Mac 配置完成,用户只需插入智能卡或令牌即可创建新用户账户。系统会提示用户输入 PIN 并创建唯一的钥匙串密码,该密码由加密密钥封装到智能卡中。账户可配置为网络用户账户或移动用户账户。
另外,若要允许移动账户离线登录,请选择“登录时创建移动账户”偏好设置。此移动用户功能由 Kerberos 属性映射支持,且在 Smartcardlogin.plist 文件中已配置。此配置还在 Mac 无法始终连接到目录服务器时非常有用。但是,初始账户设置需要设备绑定和目录服务器访问许可。
【注】如果使用移动账户,首次创建账户后,初始登录时需要使用账户的关联密码。此过程可确保获取安全令牌,以便进一步登录时可以解锁文件保险箱。在基于密码的初始登录之后,可使用仅智能卡认证。