לדלג לתוכן

שיעור 02: משתמשים, סודות, והזדהות מודרנית - חלק ב\': מדריך העברה למרצה

1. משתמשים ותיקיות

Objective:

התלמידים יבינו את ההבדלים בין סוגי החשבונות הלוקאליים ב-Mac, יכירו את היררכיית תיקיית הבית, וידעו לפתור בעיות הרשאות בסיסיות בעזרת תיקיית Shared.

Discussion (Script):

  • מי גר בתוך ה-Mac שלנו?
    • מערכת macOS מבוססת UNIX – היא מערכת רב-משתתפים (Multi-User) מיומה הראשון.
    • לכל משתמש יש "חדר פרטי" משלו: ה-Home Folder.
  • מי מקבל את המפתחות לממלכה?
    • המשתמש הראשון שמקים את המחשב הוא ה-Administrator.
    • שאר העובדים בארגון יכולים ורצוי שיהיו משתמשי Standard.
    • משתמש Standard עובד ומתקין אפליקציות בשטחו, ללא גישה לקבצי מערכת קריטיים.
  • איך משתפים קבצים בין משתמשים באותו מחשב?
    • העברה ישירה בין תיקיות מסמכים חסומה בגלל הרשאות.
    • הפתרון של אפל: תיקיית /Users/Shared.
    • זהו אזור "מפורז" (כמו חדר מדרגות משותף).
    • כולם יכולים לקרוא ולכתוב אליו בבטחה.

Demonstration:

  • הגדרות משתמשים:
    • פתח System Settings -> Users & Groups.
    • הצג את ההבדלים: שים לב לכיתוב תחת כל שם (Admin, Standard).
  • יצירת חשבון חדש:
    • לחץ על Add Account והזן סיסמת מנהל.
    • הצג את סוגי המשתמשים בתפריט הנפתח.
    • התמקד ב-Sharing Only: הסבר שהוא נועד לשיתוף רשת ללא ממשק מקומי.
  • תיקיות הבית והשיתוף (Finder):
    • נווט ל-Macintosh HD -> Users.
    • הראה את אייקון הבית מול תיקיות רגילות.
    • הכנס לתיקיית Shared.
    • הדגם: משתמש א' לא יכול למחוק קובץ של משתמש ב' מהתיקייה.

Instructor Deep-Dive:

לחץ להרחבה: למה אי אפשר למחוק קבצים של אחרים מתיקיית Shared? * **הסוד הוא ב-Sticky Bit**: דגל הרשאה ברמת מערכת הקבצים. * במערכות UNIX, תיקיה עם Sticky Bit מונעת מחיקת קבצים על ידי מי שאינו הבעלים. * **מי כן יכול למחוק?** רק הבעלים המקורי של הקובץ, בעל התיקיה עצמה, או ה-Root. * ב-macOS, הרשאה זו מופעלת כברירת מחדל ב-`/Users/Shared` למניעת השחתת נתונים בשוגג. * **כיצד לראות זאת?** הרץ בטרמינל `ls -la /Users`. תופיע האות `t` בסוף מחרוזת ההרשאות.

2. ניהול סודות

Objective:

התלמידים ילמדו על ארכיטקטורת ה-Keychain של מערכת ההפעלה, כיצד היא משתלבת עם אפליקציית ה-Passwords החדשה, ויבינו מה קורה כאשר סיסמת המחשב וסיסמת מחזיק המפתחות יוצאות מסנכרון.

Discussion (Script):

  • איך שומרים סודות ב-macOS?
    • בעבר הסתמכנו על מנגנון Keychain מקומי דרך אפליקציית Keychain Access המיושנת.
    • פיסת היסטוריה: ה-Keychain הומצא כבר ב-1993, ננטש, חזר לחיים ב-1999, ועבר שדרוג לענן רק ב-2013!
    • מ-macOS 15 (Sequoia) ומעלה יש אפליקציית Passwords ייעודית וחדשה.
  • מהי אפליקציית Passwords?
    • לא מאגר חדש, אלא פנים מודרניות ויפות ל-iCloud Keychain.
    • מרכזת סיסמאות, קודי 2FA ו-Passkeys במקום אחד ברור וידידותי.
  • האתגר של אנשי IT:
    • ה-Keychain המקומי והישן (Login Keychain) עדיין חי מאחורי הקלעים!
    • כשה-MDM מאלץ החלפת סיסמה מרחוק, המאגר המקומי לא תמיד מספיק להתעדכן.
    • התוצאה (ו"כאב הראש" של ה-Help Desk): התראות מטרידות שמבקשות סיסמה שוב ושוב.

Demonstration:

  • היכרות עם Passwords:
    • פתח אפליקציית Passwords (הדגם כניסה ביומטרית).
    • הצג קטגוריות: All, Passkeys, Wi-Fi, Security (הדגם התרעות על סיסמאות שדלפו).
  • היכרות עם Keychain Access:
    • פתח במקביל את Keychain Access מתוך תיקיית Utilities.
    • הסבר: Login Keychain נפתח עם הלוג-אין ושומר את הסודות האישיים.
    • הסבר: System Keychain שומר סודות רשת (Wi-Fi) וזמין לפני התחברות החשבון.
  • הדגמת תרחיש תקלה:
    • מה קורה כשמשנים את סיסמת המחשב אבל סיסמת ה-Keychain נשארת ישנה?
    • הראה כיצד לבצע Reset Default Keychains דרך הגדרות האפליקציה כמענה לתקלה.

Instructor Deep-Dive:

לחץ להרחבה: הארכיטקטורה של Login Keychain אל מול iCloud Keychain * **Login Keychain**: מאגר בסיס מקומי (`login.keychain-db`). נפתח סינכרונית עם סיסמת החשבון המקומית. * **iCloud Keychain**: לא קובץ יחיד, אלא מנגנון סנכרון מאובטח End-to-End. הנתונים מוצפנים ונשמרים ב-Secure Enclave ללא גישה לאפל או לתהליכים זרים. * **פתרון תקלות "Local Items" (חוסר סנכרון):** * **שלב א'**: שינוי סיסמה ידני בתוך Keychain Access לתיאום עם סיסמת המחשב. * **שלב ב' (באין ברירה)**: מחיקת Local Cache ויצירת Keychain חדש לחלוטין. * סודות קריטיים לרוב ישוחזרו מיד מהענן בעזרת ה-iCloud Keychain.

3. העידן ללא סיסמה ואבטחה

Objective:

התלמידים יכירו את קונספט ה-Passkeys כתחליף עתידי לסיסמאות מסורתיות, ויבצעו מעבדה מעשית ליצירת Passkey מבוסס FIDO2. בנוסף, יחשפו למערך ההרשאות POSIX ו-ACL ב-macOS.

Discussion (Script):

  • עידן ה-Passkeys (מפתחות גישה):
    • סיסמאות שייכות לעבר – הסכנה העיקרית שלהן היא פישינג (Phishing).
    • אפל, יחד עם קואליציית FIDO, מובילות את מהפכת ה-Passkeys.
  • איך זה עובד?
    • במקום סיסמה, נוצר צמד מפתחות קריפטוגרפי.
    • האתר מקבל מפתח פומבי (חסר ערך לחלוטין עבור תוקף).
    • המפתח הפרטי נשאר ב-Secure Enclave של ה-Mac ולא עוזב לעולם.
    • אנלוגיה: ה-Secure Enclave (שהגיע ל-Mac ב-2017) הוא כמו בונקר תת-קרקעי חסין מנותק לחלוטין, לעומת כספת בתוך חדר רגיל במעבד הראשי.
    • הכניסה מאושרת על ידי 'חתימת' המחשב באמצעות Touch ID או Face ID.
  • אבטחה לוקאלית ו-ACL:
    • הרשאות POSIX רגילות (קריאה/כתיבה לכולם או לבעלים) לא תמיד מספיקות בארגון.
    • הפתרון המורחב: ACL (Access Control Lists).
    • מאפשר הגדרת רשימות ספציפיות (למשל: תמיר רק קורא, נועה גם עורכת וגם מוחקת).

Demonstration:

  • יצירת Passkey:
    • כנס בדפדפן (Safari) לאתר המעבדה webauthn.io.
    • הזן שם משתמש וצור Authenticator חדש.
    • הראה את קפיצת הבקשה לאישור באמצעות Touch ID.
  • התחברות ללא סיסמה:
    • התנתק מהאתר והתחבר מחדש.
    • הדגם את החוויה החלקה (Passwordless Sign-In).
  • הרשאות ACL בטרמינל:
    • הרץ את הפקודה ls -le על תיקייה מוגנת.
    • הצג את סמל ה-+ שמעיד על קיום רשומות ACL.
    • (אופציונלי: הדגם יצירת הרשאת ACL בחלון Get Info של ה-Finder).

Instructor Deep-Dive:

לחץ להרחבה: איך ה-Passkeys מסונכרנים באמת בין אייפון למק? * **סנכרון Passkeys**: מתבצע דרך מנגנון ה-Escrow של iCloud Keychain. * שרתי אפל מעבירים רק BLOB מוצפן. הפענוח קורה אך ורק בתוך 'מעגל האמון' (Circle of Trust) של המשתמש. * **ניהול בארגון**: בחשבונות מנוהלים (Managed Apple Accounts), ה-MDM יכול לחסום שיתוף או AirDrop של פסקיי כדי למנוע זליגת זהות. * **POSIX לעומת ACL**: * **POSIX**: מגדיר הרשאות בסיסיות (Owner, Group, Everyone) בפורמט אוקטלי (כמו 755). * **ACL**: נשמר במערכת ה-APFS כ-Extended Attribute. מספק שליטה גרגולרית (קריאה, כתיבה, מחיקת ילדים, מניעת שינוי הרשאה מבעלים).

4. תיבול ארגוני

Objective:

התלמידים ילמדו על המגבלות והיתרונות של Managed Apple Accounts בארגון, ויכירו את הארכיטקטורה של Platform SSO המאפשרת הזדהות חלקה (Zero-touch) מול ספקיות זהות בענן ללא Active Directory מקומי.

Discussion (Script):

  • Managed Apple Accounts (MAID):
    • חשבונות Apple ששייכים לארגון ונפתחים דרך פורטל Apple Business Manager.
    • נועדו כדי לשמור על בעלות הארגון על הנתונים המסחריים.
    • הארגון מגדיר בדיוק מה מותר לעשות (למשל: סנכרון Passkeys פעיל, אך iCloud Mail חסום).
  • Federated Authentication:
    • אין צורך לזכור סיסמה נוספת לחשבון האפל.
    • כשמקלידים אימייל עבודה ב-Setup Assistant, המערכת מזהה את הדומיין ומקפיצה מסך אימות ארגוני (למשל Microsoft Entra ID).
  • Platform SSO:
    • בעבר הצמדנו את המחשב לשרת פיזי (Active Directory), מה שהקשה על עבודה מהבית ללא VPN.
    • היום ה-Platform SSO מאפשר למסך הלוג-אין 'לדבר' ישירות עם שרתי הענן.
    • הזנת סיסמה ארגונית (או זיהוי ביומטרי) פותחת את המחשב ומתחברת לכל יישומי הענן בבת אחת.

Demonstration:

  • חוויית ההתחברות הארגונית:
    • הדגם (או הראה צילום מסך) כיצד מסך ה-Setup Assistant עובר אוטומטית ל-Federated Authentication.
  • אבחון בטרמינל:
    • הרץ את הפקודה: system_profiler SPConfigurationProfileDataType | grep -i SSO.
    • הסבר כיצד מחפשים פרופיל מסוג Extensible Enterprise SSO.
  • זרימת האימות:
    • ה-MDM שולח תוסף (כמו Company Portal).
    • macOS מזרימה את האימות דרך התוסף ישירות למסך הנעילה (Lock Screen).
  • בעיית ה-Domain Conflict:
    • מה קורה שלעובד יש חשבון פרטי ישן עם אימייל החברה?
    • קופצת התראת 60 ימים – המשתמש חייב לשנות את המייל הפרטי לפני שהדומיין נתפס רשמית על ידי הארגון.

Instructor Deep-Dive:

לחץ להרחבה: כיצד ה-Platform SSO מתמודד עם מצב אופליין? * **התרחיש**: עובד שינה את סיסמת ה-IdP (כגון Entra ID) בנייד, אך פותח את המק בטיסה ללא אינטרנט. * **הפתרון למצב אופליין**: העובד יפתח את ה-Mac באמצעות הסיסמה ה**ישנה**, אשר שמורה ב-Local Cache של המערכת. * **מה קורה כשחוזרים לרשת?** * תוסף ה-Platform SSO מזהה אוטומטית שטוקן הסיסמה הישנה פקע מול שרת הענן. * המערכת תקפיץ התראת macOS המבקשת להזין את הסיסמה החדשה. * ה-Local Cache יסתנכרן, וה-Login Keychain יתעדכן בסיסמה החדשה. * תהליך זה מונע את התקלה המוכרת של "Out of Sync Keychain" ללא צורך בהתערבות צוות ה-IT.