
Konfigurasikan Mac untuk pengesahan kad pintar sahaja
macOS menyokong pengesahan kad pintar sahaja untuk penggunaan mandatori kad pintar, yang menyahdayakan semua pengesahan berdasarkan kata laluan. Dasar ini diwujudkan merentas semua komputer Mac dan boleh ditukar pada asas per pengguna menggunakan kumpulan pengecualian, dalam peristiwa yang pengguna tidak mempunyai kad pintar berfungsi yang tersedia.
Pengesahan kad pintar sahaja menggunakan penguatkuasaan berasaskan mesin
macOS 10.13.2 atau lebih baharu menyokong pengesahan kad pintar sahaja untuk penggunaan mandatori kad pintar, yang menyahdayakan semua pengesahan berdasarkan kata laluan dan kerap dipanggil penguatkuasaan berdasarkan mesin. Untuk menggunakan ciri ini, penguatkuasaan kad pintar mandatori mestilah diwujudkan menggunakan penyelesaian pengurusan peranti mudah alih (MDM) atau menggunakan perintah berikut:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Untuk mendapatkan arahan tambahan tentang mengkonfigurasikan macOS untuk pengesahan kad pintar sahaja, lihat artikel Sokongan Apple Konfigurasi macOS untuk pengesahan kad pintar sahaja.
Pengesahan kad pintar sahaja menggunakan penguatkuasaan berasaskan pengguna
Penguatkuasaan berasaskan pengguna dicapai dengan menentukan kumpulan pengguna yang dikecualikan daripada log masuk kad pintar. NotEnforcedGroup mengandungi nilai rentetan yang mentakrifkan nama kumpulan setempat atau Direktori yang tidak akan disertakan dalam penguatkuasaan kad pintar mandatori. Ini kadang kala dirujuk sebagai penguatkuasaan berasaskan pengguna dan memberikan granulariti per pengguna kepada perkhidmatan kad pintar. Untuk menggunakan ciri ini, penguatkuasaan berasaskan mesin mestilah diwujudkan terlebih dahulu menggunakan penyelesaian pengurusan peranti mudah alih (MDM) atau menggunakan perintah berikut:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Selain itu, sistem mestilah dikonfigurasikan untuk membenarkan pengguna yang tidak dipasangkan dengan kad pintar untuk log masuk dengan kata laluan mereka:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Gunakan contoh fail /private/etc/SmartcardLogin.plist di bawah sebagai panduan. Gunakan EXEMPT_GROUP untuk nama kumpulan yang digunakan untuk pengecualian. Sebarang pengguna yang anda tambah ke kumpulan ini dikecualikan daripada log masuk kad pintar, selagi mereka ialah ahli kumpulan yang ditentukan atau kumpulan itu sendiri ditentukan untuk pengecualian. Sahkan yang pemilikan ialah akar dan kebenaran tersebut disetkan kepada “boleh baca dunia” selepas pengeditan.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>