Configuration du Mac pour une authentification exclusive par carte intelligente

macOS prend en charge l’authentification exclusivement par carte intelligente pour l’utilisation obligatoire d’une carte intelligente, ce qui désactive toute authentification par mot de passe. Cette règle est établie dans tous les ordinateurs Mac et est modifiable pour chaque utilisateur à l’aide d’un groupe d’exemption si un utilisateur n’a pas une carte intelligente opérationnelle à sa disposition.

Authentification exclusivement par carte à puce selon une application basée sur l’ordinateur

Un Mac sous macOS 10.13.2 ou une version ultérieure prend en charge l’authentification exclusivement par carte à puce pour l’utilisation obligatoire d’une carte à puce, ce qui désactive toute authentification par mot de passe et est souvent appelée application basée sur l’ordinateur. Afin d’utiliser cette fonctionnalité, vous devez mettre en place une utilisation obligatoire de la carte à puce à l’aide d’un service de gestion des appareils ou en utilisant la commande suivante :

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

Pour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification exclusivement par carte intelligente, consultez l’article de l’assistance Apple Configurer macOS pour une identification par carte intelligente uniquement.

Authentification exclusive par carte à puce selon une application basée sur l’utilisateur

Vous mettez en œuvre l’application basée sur l’utilisateur en indiquant un groupe d’utilisateurs qui est exempté de la connexion par carte à puce. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou de répertoire que vous excluez de l’utilisation obligatoire de carte à puce. Elle offre une granularité par utilisateur pour les services de carte à puce. Afin d’utiliser cette fonctionnalité, vous devez d’abord mettre en place une utilisation basée sur l’ordinateur à l’aide d’un service de gestion des appareils ou en utilisant la commande suivante :

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

De plus, le système doit être configuré pour autoriser les utilisateurs qui ne sont pas jumelés avec une carte à puce à se connecter avec leur mot de passe :

sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1

Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous à titre de référence. Utilisez la valeur EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur que vous ajoutez à ce groupe est exempté de la connexion par carte intelligente tant qu’il demeure un membre du groupe ou que le groupe demeure dans l’exemption. Vérifiez que le propriétaire est root et que les autorisations sont « universelles » après la modification.

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>dsAttributeString</key>          <string>dsAttrTypeStandard:AltSecurityIdentities</string>          <key>fields</key>          <array>                <string>NT Principal Name</string>          </array>          <key>formatString</key>          <string>Kerberos:$1</string>     </dict>     <key>NotEnforcedGroup</key>     <string>EXEMPT_GROUP</string></dict></plist>

Voir aussipage de manuel pour SmartCardServices page de manuel pour securiy page de manuel pour sc_auth page de manuel pour pam_smartcard

Ces renseignements étaient-ils utiles?

Déploiement des plateformes Apple

Configuration du Mac pour une authentification exclusive par carte intelligente

Authentification exclusivement par carte à puce selon une application basée sur l’ordinateur

Authentification exclusive par carte à puce selon une application basée sur l’utilisateur