Konfigurowanie Maca pod kątem uwierzytelniania wyłącznie przy użyciu karty inteligentnej
System macOS obsługuje funkcję uwierzytelniania wyłącznie przy użyciu karty inteligentnej. Wymusza ona konieczność używania karty inteligentnej i blokuje możliwość uwierzytelniania przy użyciu hasła. Zasada ta jest używana we wszystkich komputerach Mac i może być modyfikowana dla poszczególnych użytkowników przy użyciu grupy wykluczeń — w sytuacji, gdy dany użytkownik nie ma działającej karty inteligentnej.
Uwierzytelnianie wyłącznie przy użyciu karty inteligentnej z wymuszaniem opartym o urządzenie (MBE)
Komputery Mac z systemem macOS 10.13.2 lub nowszym obsługują funkcję uwierzytelniania wyłącznie przy użyciu karty inteligentnej. Blokuje ona możliwość uwierzytelniania przy użyciu hasła i określana jest jako machine based enforcement (wymuszenie oparte o urządzenie). Korzystanie z tej funkcji wymaga najpierw włączenia obowiązkowego uwierzytelniania za pomocą kart inteligentnych, używając usługi zarządzania urządzeniami lub następującego polecenia:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueAby uzyskać dodatkowe instrukcje dotyczące konfigurowania systemu macOS do uwierzytelniania wyłącznie przy użyciu kart inteligentnych, zobacz artykuł Wsparcia Apple: Configure macOS for smart card-only authentication (Konfigurowanie systemu macOS do uwierzytelniania wyłącznie przy użyciu kart inteligentnych).
Uwierzytelnianie wyłącznie przy użyciu karty inteligentnej z wymuszaniem opartym o użytkownika (UBE)
Wymuszanie oparte o użytkownika implementowane jest przez zdefiniowanie grupy użytkowników wykluczonych z logowania przy użyciu karty inteligentnej. NotEnforcedGroup zawiera wartość ciągu definiującą nazwę grupy lokalnej lub grupy z serwera katalogowego, która ma zostać wykluczona z obowiązkowego wymuszenia użycia karty inteligentnej. Umożliwia to konfigurowanie usług karty inteligentnej na poziomie użytkownika. Korzystanie z tej funkcji wymaga najpierw włączenia wymuszenia opartego o urządzenie przy użyciu usługi zarządzania urządzeniami lub następującego polecenia:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDodatkowo konfiguracja systemu musi umożliwiać użytkownikom niepołączonym w parę z kartą inteligentną na logowanie się przy użyciu hasła:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Jako wzoru użyj przedstawionego poniżej przykładowego pliku /private/etc/SmartcardLogin.plist. Użyj EXEMPT_GROUP jako nazwy grupy używanej do wykluczeń. Dowolny użytkownik dodany do tej grupy jest wykluczony z logowania przy użyciu karty inteligentnej — pod warunkiem, że należy do tej grupy lub sama grupa podana jest w wykluczeniu. Po dokonaniu edycji pliku upewnij się, że jako właściciel ustawiony jest użytkownik root, a uprawnienia umożliwiają odczyt przez dowolnego użytkownika.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>