A Mac rendszer konfigurálása a kizárólag intelligens kártyával történő hitelesítéshez
A macOS rendszer támogatja a csak intelligens kártyával történő hitelesítést egy intelligens kártya kötelező használata révén, amely letilt minden jelszóalapú hitelesítést. Ez a szabályzat az összes Mac számítógépen érvényesül, és felhasználónként módosítható egy mentességi csoport segítségével, amennyiben a felhasználó nem rendelkezik működő intelligens kártyával.
Kizárólag intelligens kártyával történő hitelesítés gépalapú érvényesítés használatával
A macOS 10.13.2 és újabb rendszert futtató Macek támogatják a csak intelligens kártyával történő hitelesítést egy intelligens kártya kötelező használata révén, amely letilt minden jelszóalapú hitelesítést. Ezt gyakran gép általi kényszerítésnek nevezzük. A funkció által nyújtott előnyök kihasználása érdekében létre kell hoznia az intelligens kártyák kötelező használatának érvényesítését egy eszközfelügyeleti szolgáltatás segítségével vagy a következő parancs használatával:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueHa további részleteket szeretne megtudni arról, hogy lehet konfigurálni a macOS rendszert a csak intelligens kártyával történő hitelesítéshez, tekintse meg a következő Apple-támogatási cikket: A macOS konfigurálása a csak intelligens kártyával történő hitelesítéshez.
Kizárólag intelligens kártyával történő hitelesítés gépalapú érvényesítés használatával
A felhasználónkénti érvényesítés megvalósításához meg kell adnia egy felhasználói csoportot, amelyet mentesít az intelligens kártyával történő bejelentkezés alól. A NotEnforcedGroup egy karakterláncértéket tartalmaz, és ez az érték egy olyan helyi vagy Directory-csoport nevét definiálja, amelyet nem kell belefoglalnia az intelligens kártya kötelező használatának érvényesítésébe. Ez felhasználónkénti részletességet biztosít az intelligens kártyák szolgáltatásaihoz. A funkció által nyújtott előnyök kihasználása érdekében először létre kell hoznia egy gép általi kényszerítést egy eszközfelügyeleti szolgáltatás segítségével vagy a következő parancs használatával:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueEzenkívül a rendszert úgy kell konfigurálni, hogy az intelligens kártyával nem párosított felhasználók számára lehetővé tegye a jelszavas bejelentkezést:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Használja a /private/etc/SmartcardLogin.plist mintafájlt útmutatásként. Az EXEMPT_GROUP értékeként a mentesülési csoport nevét kell megadni. A csoporthoz hozzáadott felhasználók mentesülnek az intelligens kártyával történő bejelentkezés alól, amennyiben a csoport tagjaként vannak megadva, vagy ha a csoport esetében be van állítva a mentesülés. Ellenőrizni kell, hogy a tulajdonjoghoz a gyökér érték van megadva, az engedélyek pedig „globális olvasható” értékre vannak állítva a szerkesztést követően.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>