Configurare un Mac per l’autenticazione solo con smart card
macOS supporta l’autenticazione con uso obbligatorio di smart card, opzione che disabilita tutte le autenticazioni basate su password. Questo criterio viene applicato a tutti i Mac e può essere modificato per utenti specifici tramite un gruppo di esclusione, nel caso in cui un utente non disponga di una smart card funzionante.
Autenticazione solo con smart card applicata all’intero computer
Un Mac con macOS 10.13.2 o versioni successive supporta l’autenticazione con uso obbligatorio di smart card, opzione che disabilita tutte le autenticazioni basate su password ed è definita Machine Based Enforcement. Per poter sfruttare questa funzionalità, è necessario stabilire l’uso obbligatorio delle smart card tramite una soluzione MDM o utilizzando il seguente comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePer istruzioni aggiuntive sulla configurazione dell’autenticazione solo con smart card in macOS, consulta l’articolo del supporto Apple Configurare macOS per l’autenticazione solo con smart card.
Autenticazione solo con smart card applicata a utenti specifici
L’uso obbligatorio basato sugli utenti viene realizzato indicando un gruppo di utenti che viene escluso dal login tramite smart card. NotEnforcedGroup contiene un valore stringa che definisce il nome di un gruppo locale o di directory che non verrà incluso nell’uso obbligatorio delle smart card. A volte viene fatto riferimento a questa opzione con il nome di applicazione basata sull’utente e fornisce granularità a livello di utente per l’utilizzo dei servizi con smart card. Per poter sfruttare questa funzionalità, innanzitutto è necessario stabilire l’uso obbligatorio delle smart card per l’intero computer tramite una soluzione MDM o utilizzando il seguente comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueInoltre, è necessario configurare il sistema in modo da consentire il login con password agli utenti che non hanno eseguito l’abbinamento con una smart card:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Utilizza il file /private/etc/SmartcardLogin.plist di esempio riportato di seguito come riferimento. Utilizza EXEMPT_GROUP come nome del gruppo utilizzato per le esclusioni. Qualsiasi utente che viene aggiunto al gruppo viene escluso dal login tramite smart card, finché farà parte del gruppo e finché il gruppo stesso sarà un gruppo di esclusione. Dopo la modifica, verifica che la proprietà sia impostata su “root” e che i permessi consentano la lettura a tutti.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>