تكوين Mac لمصادقة البطاقة الذكية فقط
يدعم macOS مصادقة البطاقة الذكية فقط للاستخدام الإلزامي للبطاقة الذكية، مما يؤدي إلى تعطيل كل المصادقة المستندة إلى كلمة السر. تم وضع هذه السياسة عبر جميع أجهزة كمبيوتر Mac، ويمكن تغييرها على أساس كل مستخدم باستخدام مجموعة إعفاء، في حالة عدم توفر بطاقة ذكية صالحة للمستخدم.
مصادقة البطاقة الذكية فقط باستخدام الفرض المستند إلى الجهاز
يدعم Mac مثبت عليه macOS 10.13.2 أو أحدث مصادقة البطاقة الذكية فقط للاستخدام الإلزامي للبطاقة الذكية، مما يعطل كل المصادقة المستندة إلى كلمة سر وغالبًا ما يطلق عليه الفرض المستند إلى الجهاز. للاستفادة من هذه الميزة، يجب إنشاء فرض البطاقة الذكية الإلزامي باستخدام أحد حلول إدارة جهاز الجوال (MDM) أو باستخدام الأمر التالي:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueللحصول على إرشادات إضافية حول تكوين macOS لمصادقة البطاقة الذكية فقط، راجع مقال دعم Apple تكوين macOS لمصادقة البطاقة الذكية فقط.
مصادقة البطاقة الذكية فقط باستخدام الفرض المستند إلى المستخدم
يتم تحقيق الفرض المستند إلى المستخدم عن طريق تحديد مجموعة مستخدمين سيتم إعفاؤها من تسجيل الدخول بالبطاقة الذكية. يحتوي NotEnforcedGroup على قيمة سلسلة تحدد اسم مجموعة محلية أو مجموعة دليل لن يتم تضمينها في فرض البطاقة الذكية الإلزامي. يُشار إلى ذلك أحيانًا باسم الفرض المستند إلى المستخدم، ويوفر تفاصيل دقيقة لكل مستخدم لخدمات البطاقة الذكية. للاستفادة من هذه الميزة، يجب أولاً إنشاء فرض مستند إلى الجهاز باستخدام أحد حلول إدارة جهاز الجوال (MDM) أو باستخدام الأمر الآتي:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueبالإضافة إلى ذلك، يجب تكوين النظام للسماح للمستخدمين الذين لم يتم إقرانهم ببطاقة ذكية بتسجيل الدخول باستخدام كلمة سر:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1استخدم مثال ملف /private/etc/SmartcardLogin.plist التالي كدليل. استخدم EXEMPT_GROUP لاسم المجموعة المستخدمة للإعفاءات. يُعفى أي مستخدم يُضاف إلى هذه المجموعة من تسجيل الدخول بالبطاقة الذكية، طالما أنه عضو محدد في المجموعة أو إذا تم تحديد المجموعة نفسها للإعفاء. تحقق من أن الملكية هي الأصل وأنه تم تعيين الأذونات على "قابلة للقراءة للجميع" بعد التعديل.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>