配置 Mac 以使用仅智能卡认证

macOS 支持仅智能卡认证以实现智能卡强制使用，该功能会停用所有基于密码的认证。此策略贯穿所有 Mac 电脑，在用户没有可用的智能卡时，可使用免除群组基于每个用户进行更改。

使用基于机器的执行方案的仅智能卡认证

运行 macOS 10.13.2 或更高版本的 Mac 支持仅智能卡认证以强制使用智能卡，该功能会停用所有基于密码的认证，通常称为基于机器的执行方案。为了使用此功能，你需要使用设备管理服务或以下命令建立智能卡强制执行方案：

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

有关配置 macOS 以使用仅智能卡认证的其他说明，请参阅 Apple 支持文章：配置 macOS 以使用仅智能卡认证。

使用基于用户的执行方案的仅智能卡认证

你可以通过指定可免除智能卡登录的用户群组来实施基于用户的执行方案。NotEnforcedGroup 包含一个字符串值，其定义了你不会包括在智能卡强制执行方案中的本地或目录群组的名称。这可针对每个用户提供不同精度的智能卡服务。为了使用此功能，你首先需要使用设备管理服务或以下命令建立基于机器的执行方案：

sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true

此外，系统还需要配置为允许未与智能卡配对的用户使用其密码登录：

sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1

使用以下“/private/etc/SmartcardLogin.plist”示例文件作为指导。用于免除的群组名称应使用 EXEMPT_GROUP。你添加到此群组中的任何用户都将免除智能卡登录，只要是群组中的指定成员或者群组本身已指定为免除群组。在编辑后，验证所有权为 root，且许可已设为“全局可读”。

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>     <key>AttributeMapping</key>     <dict>          <key>dsAttributeString</key>          <string>dsAttrTypeStandard:AltSecurityIdentities</string>          <key>fields</key>          <array>                <string>NT Principal Name</string>          </array>          <key>formatString</key>          <string>Kerberos:$1</string>     </dict>     <key>NotEnforcedGroup</key>     <string>EXEMPT_GROUP</string></dict></plist>

另请参阅SmartCardServices 的 man 页面 security 的 man 页面 sc_auth 的 man 页面 pam_smartcard 的 man 页面

有帮助?

Apple 平台部署

配置 Mac 以使用仅智能卡认证

使用基于机器的执行方案的仅智能卡认证

使用基于用户的执行方案的仅智能卡认证