Configurar una Mac para la autenticación sólo con tarjeta inteligente
macOS es compatible con la autenticación sólo con tarjetas inteligentes, lo cual desactiva la autenticación basada en contraseñas. Esta política se establece en todos los aspectos de las computadoras Mac, y puede cambiarse para cada usuario utilizando un grupo de exención, en caso de que un usuario no cuente con una tarjeta inteligente que funcione.
Autenticación sólo con tarjetas inteligentes utilizando la imposición basada en máquinas
Las computadoras Mac con macOS 10.13.2, o una versión posterior, son compatibles con la autenticación sólo con tarjetas inteligentes para el uso obligatorio de tarjetas inteligentes, lo cual desactiva por completo la autenticación basada en contraseñas, y se le conoce también como imposición basada en máquinas (MBE). Para aprovechar esta función, debe establecerse la autenticación sólo con tarjetas inteligentes utilizando una solución (MDM) o mediante el comando siguiente:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePara obtener información adicional sobre cómo configurar macOS para la autenticación sólo con tarjetas inteligentes, consulta el artículo de soporte de Apple Configurar macOS para la autenticación sólo con tarjetas inteligentes.
Autenticación sólo con tarjetas inteligentes utilizando la imposición basada en usuarios
La imposición basada en usuarios se logra especificando un grupo de usuarios que está exento del inicio de sesión con tarjeta inteligente. NotEnforcedGroup contiene un valor de cadena que define el nombre de un grupo local o de directorio que no se incluirá en la imposición de tarjeta inteligente obligatoria. A este método también se le conoce como imposición basada en usuarios, la cual proporciona opciones de configuración personalizada para cada usuario y permite acceder a los servicios de las tarjetas inteligentes. Para aprovechar esta función, primero debe establecerse la imposición basada en máquinas utilizando una solución (MDM) o mediante el siguiente comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueAdemás, el sistema debe estar configurado para permitir el inicio de sesión con contraseña propia a los usuarios que no cuentan con una tarjeta inteligente enlazada:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Usa como guía el siguiente archivo /private/etc/SmartcardLogin.plist de ejemplo. Usa EXEMPT_GROUP para el nombre del grupo exento. Cualquier usuario que agregues a este grupo estará exento del inicio de sesión con tarjeta inteligente, siempre y cuando sea un miembro específico del grupo o el propio grupo esté especificado para la exención. Verifica que la propiedad es la raíz (root) y que los permisos son legibles globalmente (world readable) después de la edición.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>