Configurar um Mac para a autenticação apenas através de smart card
O macOS suporta a autenticação apenas através de smart card para impor a utilização obrigatória de um smart card, o que desativa a autenticação baseada em palavra‑passe. Esta política é estabelecida em todo os computadores Mac e pode ser alterada por utilizador através de um grupo de isenção, caso um utilizador não tenha um smart card funcional disponível.
Autenticação apenas através de smart card com aplicação por máquina
O macOS 10.13.2 ou posterior suporta a autenticação apenas através de smart card para impor a utilização obrigatória de um smart card, o que desativa a autenticação baseada em palavra‑passe e que é normalmente designada aplicação por máquina. Para aproveitar esta funcionalidade, é necessário estabelecer a utilização obrigatória de smart card através de uma solução de gestão de dispositivos móveis (MDM) ou do seguinte comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueEncontrará instruções adicionais sobre a configuração do macOS para a autenticação apenas através de smart card no artigo do Suporte Apple Configurar o macOS para a autenticação apenas através de smart card.
Autenticação apenas através de smart card com aplicação baseada no utilizador
A aplicação baseada no utilizador é alcançada através da especificação de um grupo de utilizadores que está isento do início de sessão com smart card. NotEnforcedGroup contém um valor de string que define o nome de um grupo local ou de diretório que não será incluído na aplicação obrigatória de smart card. Este método é, por vezes, definido como aplicação baseada no utilizador e fornece granularidade ao nível do utilizador para serviços de smart card. Para aproveitar esta funcionalidade, primeiro é necessário estabelecer a aplicação por máquina através de uma solução de gestão de dispositivos móveis (MDM) ou do seguinte comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueAlém disso, o sistema tem de estar configurado para permitir que os utilizadores que não estejam emparelhados com um smart card efetuem o início de sessão com a palavra‑passe:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Use o exemplo de ficheiro /private/etc/SmartcardLogin.plist fornecido abaixo como orientação. Use EXEMPT_GROUP para o nome do grupo usado para as isenções. Qualquer utilizador que adicionar a este grupo está isento do início de sessão com smart card, desde que sejam um membro especificado do grupo ou o próprio grupo esteja especificado para isenção. Verifique que a propriedade é “ao nível da raiz” e que as permissões são “legíveis por qualquer utilizador” após a edição.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>