Configurer un Mac pour une authentification par carte à puce uniquement

macOS prend en charge l’authentification par carte à puce uniquement, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Cette règle est établie sur l’ensemble des ordinateurs Mac et peut être modifiée par utilisateur à l’aide d’un groupe d’exemption, dans le cas où un utilisateur ne dispose pas d’une carte à puce fonctionnelle.

Authentification par carte à puce uniquement à l’aide de l’application basée sur la machine

Les Mac dotés de macOS 10.13.2 ou ultérieur prennent en charge l’authentification par carte à puce uniquement, souvent appelée application basée sur la machine, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Pour tirer parti de cette fonctionnalité, vous devez établir l’application obligatoire de la carte à puce au moyen d’un service de gestion des appareils ou en utilisant la commande suivante :

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

Pour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification par carte à puce uniquement, consultez l’article Configurer macOS pour une identification par carte intelligente uniquement de l’assistance Apple.

Authentification par carte à puce uniquement à l’aide de l’application basée sur l’utilisateur

Vous mettez en œuvre l’application basée sur l’utilisateur en précisant un groupe d’utilisateurs qui sont exemptés de l’ouverture de session par carte à puce. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou d’annuaires qui ne sera pas inclus dans l’application obligatoire de la carte à puce. Cela permet d’obtenir une granularité par utilisateur pour les services de carte à puce. Pour tirer parti de cette fonctionnalité, vous devez d’abord établir l’application basée sur la machine au moyen d’un service de gestion des appareils ou en utilisant la commande suivante :

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

De plus, le système doit être configuré pour permettre aux utilisateurs qui ne sont pas jumelés avec une carte à puce d’ouvrir une session avec leur mot de passe :

sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1

Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous pour vous guider. Utilisez EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur ajouté à ce groupe est exempté de l’ouverture de session par carte à puce, tant qu’il s’agit d’un membre spécifié du groupe ou que le groupe lui-même est spécifié pour l’exemption. Vérifiez que la propriété est « root » (racine) et que les autorisations sont définies sur « world read » (lisibles dans le monde entier) après la modification.

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>dsAttributeString</key>          <string>dsAttrTypeStandard:AltSecurityIdentities</string>          <key>fields</key>          <array>                <string>NT Principal Name</string>          </array>          <key>formatString</key>          <string>Kerberos:$1</string>     </dict>     <key>NotEnforcedGroup</key>     <string>EXEMPT_GROUP</string></dict></plist>

Voir aussipage de man pour SmartCardServices page de man pour la sécurité page de man pour sc_auth page de man pour pam_smartcard

Avez-vous trouvé cet article utile ?

Déploiement des plateformes Apple

Configurer un Mac pour une authentification par carte à puce uniquement

Authentification par carte à puce uniquement à l’aide de l’application basée sur la machine

Authentification par carte à puce uniquement à l’aide de l’application basée sur l’utilisateur