Nasazení platforem Apple
- Vítejte
- Úvod do nasazení platforem Apple
- Novinky
-
- Úvod do zabezpečení správy zařízení
- Rychlé opravy zabezpečení
- Zamykání a hledání zařízení
- Výmaz zařízení
- Zámek aktivace
- Správa přístupu příslušenství
- Vynucení pravidel pro hesla
- Použití perzistentních tokenů
- Použití vestavěných funkcí zabezpečení sítě
- Atestace spravovaných zařízení
-
-
- Deklarativní stavové zprávy
- Deklarativní konfigurace aplikací
- Deklarace přihlašovacích údajů a položek identity
- Deklarativní konfigurace správy úloh na pozadí
- Deklarativní konfigurace Calendar
- Deklarativní konfigurace Certificates
- Deklarativní konfigurace Contacts
- Deklarativní konfigurace Exchange
- Deklarativní konfigurace Google Accounts
- Deklarativní konfigurace LDAP
- Deklarativní konfigurace Legacy interactive profile
- Deklarativní konfigurace Legacy profile
- Deklarativní konfigurace Mail
- Deklarativní konfigurace aplikace „Matematika a kalkulačka“
- Deklarativní konfigurace Passcode
- Deklarativní konfigurace Passkey Attestation
- Položky deklarativní konfigurace správy rozšíření Safari
- Deklarativní konfigurace Screen Sharing
- Deklarativní konfigurace Service configuration files
- Deklarativní konfigurace Software Update
- Deklarativní konfigurace nastavení Software Update
- Deklarativní konfigurace správy úložiště
- Deklarativní konfigurace Subscribed Calendars
-
-
- Nastavení datové části pro zpřístupnění
- Položky nastavení v datové části Active Directory Certificate
- Položky nastavení v datové části AirPlay
- Položky nastavení v datové části AirPlay Security
- Položky nastavení v datové části AirPrint
- Položky nastavení v datové části App Lock
- Položky nastavení v datové části Associated Domains
- Položky nastavení v datové části Automated Certificate Management Environment (ACME)
- Položky nastavení v datové části Autonomous Single App Mode
- Položky nastavení v datové části Calendar
- Položky nastavení v datové části Cellular
- Položky nastavení v datové části Cellular Private Network
- Položky nastavení v datové části Certificate Preference
- Položky nastavení v datové části Certificate Revocation
- Položky nastavení v datové části Certificate Transparency
- Položky nastavení v datové části Certificates
- Položky nastavení v datové části Conference Room Display
- Položky nastavení v datové části Contacts
- Položky nastavení v datové části Content Caching
- Položky nastavení v datové části Directory Service
- Položky nastavení v datové části DNS Proxy
- Položky nastavení v datové části DNS Settings
- Položky nastavení v datové části Dock
- Položky nastavení v datové části Domains
- Položky nastavení v datové části Energy Saver
- Položky nastavení v datové části Exchange ActiveSync (EAS)
- Položky nastavení v datové části Exchange Web Services (EWS)
- Položky nastavení v datové části Extensible Single Sign-on
- Položky nastavení v datové části Extensible Single Sign-on Kerberos
- Položky nastavení v datové části Extensions
- Položky nastavení v datové části FileVault
- Nastavení datové části Finderu
- Položky nastavení v datové části Firewall
- Položky nastavení v datové části Fonts
- Položky nastavení datové části Global HTTP Proxy
- Položky nastavení v datové části Google Accounts
- Položky nastavení v datové části Home Screen Layout
- Nastavení datové části pro identifikaci
- Položky nastavení v datové části Identity Preference
- Položky nastavení v datové části Kernel Extension Policy
- Položky nastavení v datové části LDAP
- Položky nastavení v datové části Lights Out Management
- Položky nastavení v datové části Lock Screen Message
- Nastavení datové části pro přihlašovací okno
- Položky nastavení v datové části Managed Login Items
- Nastavení datové části pošty
-
- Nastavení Wi‑Fi
- Položky nastavení Ethernetu
- Nastavení pro ověřování WEP, WPA, WPA2, WPA2/WPA3
- Nastavení ověřování Dynamické WEP, WPA podnikové a WPA2 podnikové
- Nastavení protokolu EAP
- Položky nastavení sítě HotSpot 2.0
- Položky nastavení pro Legacy Hotspot
- Nastavení pro službu Cisco Fastlane
- Položky nastavení Network Proxy Configuration
- Položky nastavení v datové části Network Usage Rules
- Položky nastavení v datové části Notifications
- Položky nastavení v datové části Parental Controls
- Nastavení datové části pro přístupový kód
- Položky nastavení v datové části Printing
- Nastavení datové části Privacy Preferences Policy Control
- Položky nastavení v datové části Relay
- Nastavení datové části SCEP
- Položky nastavení v datové části Security
- Položky nastavení v datové části Setup Assistant
- Položky nastavení v datové části Single Sign-on
- Položky nastavení v datové části Smart Card
- Položky nastavení v datové části Subscribed Calendars
- Položky nastavení v datové části System Extensions
- Položky nastavení v datové části System Migration
- Položky nastavení v datové části Time Machine
- Položky nastavení v datové části TV Remote
- Položky nastavení v datové části Web Clips
- Položky nastavení datové části Web Content Filter
- Položky nastavení v datové části Xsan
-
- Glosář
- Historie revizí dokumentu
- Copyright
Nakonfigurování Macu pro ověřování totožnosti pouze pomocí čipové karty
Systém macOS podporuje režim ověřování totožnosti pouze pomocí čipových karet, ve kterém je použití čipových karet povinné a všechny metody ověření pomocí hesla jsou deaktivované. Toto pravidlo platí pro všechny počítače Mac a lze z něj vyjmout jednotlivé uživatele zařazením do skupiny výjimek v případě, že uživatel nemá k dispozici funkční čipovou kartu.
Ověřování totožnosti pouze pomocí čipových karet vynucované na úrovni počítače
Počítače Mac se systémy macOS 10.13.2 a novějšími podporují režim ověřování totožnosti pouze pomocí čipových karet, ve kterém je použití čipových karet povinné a všechny metody ověření pomocí hesla jsou deaktivované. Tento režim se často označuje jako ověřování vynucené na úrovni počítače. Chcete‑li tuto funkci využívat, musíte povinné použití čipových karet nastavit ve službě správy zařízení nebo pomocí následujícího příkazu:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDalší pokyny k nastavení systému macOS pro ověřování totožnosti pouze pomocí čipových karet najdete v článku podpory Apple Configure macOS for smart card-only authentication (Nastavení systému macOS pro ověřování pouze pomocí čipových karet).
Ověřování totožnosti pouze pomocí čipových karet vynucované na úrovni jednotlivých uživatelů
Pro konkrétní uživatele můžete povinnost přihlašovat se pomocí čipových karet nastavit vytvořením skupiny uživatelů, kterým z této povinnosti udělíte výjimku. Název místní nebo adresářové skupiny, na kterou se povinné použití čipových karet nebude vztahovat, je definován řetězcovou hodnotou proměnné NotEnforcedGroup. Tímto způsobem lze oddělit nastavení služeb čipových karet pro jednotlivé uživatele. Chcete‑li tuto funkci využívat, musíte nejprve nastavit povinnost na úrovni počítače ve službě správy zařízení nebo pomocí následujícího příkazu:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueKromě toho je systém nutné nastavit tak, aby uživatelům bez spárované čipové karty umožňoval přihlášení pomocí hesla:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Jako vodítko můžete použít níže uvedenou ukázku souboru /private/etc/SmartcardLogin.plist. SKUPINA_VYJIMEK je název skupiny uživatelů, pro které má platit výjimka. Na uživatele přidané do této skupiny se povinnost přihlašovat se pomocí čipové karty nevztahuje, pokud jsou specifikovanými členy skupiny nebo pokud je pro skupinu samotnou specifikována výjimka. Po úpravě souboru se ujistěte, že jeho vlastníkem je uživatel „root“ a že je u něj nastaveno všeobecné oprávnění ke čtení („world readable“).
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>