Nakonfigurování Macu pro ověřování totožnosti pouze pomocí čipové karty
Systém macOS podporuje režim ověřování totožnosti pouze pomocí čipových karet, ve kterém je použití čipových karet povinné a všechny metody ověření pomocí hesla jsou deaktivované. Toto pravidlo platí pro všechny počítače Mac a lze z něj vyjmout jednotlivé uživatele zařazením do skupiny výjimek v případě, že uživatel nemá k dispozici funkční čipovou kartu.
Ověřování totožnosti pouze pomocí čipových karet vynucované na úrovni počítače
Systémy macOS 10.13.2 a novější podporují režim ověřování totožnosti pouze pomocí čipových karet, ve kterém je použití čipových karet povinné a všechny metody ověření pomocí hesla jsou deaktivované. Tento režim se často označuje jako vynucení na úrovni počítače. Aby bylo tuto funkci možné využít, je nutné nastavit povinné použití čipových karet ve službě správy mobilních zařízení (MDM) nebo pomocí příkazu
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Další pokyny k nastavení systému macOS pro ověřování totožnosti pouze pomocí čipových karet najdete v článku podpory Apple Configure macOS for smart card-only authentication (Nastavení systému macOS pro ověřování pouze pomocí čipových karet).
Ověřování totožnosti pouze pomocí čipových karet s vynucením pro jednotlivé uživatele
Pro konkrétní uživatele lze povinnost přihlašovat se pomocí čipových karet nastavit vytvořením skupiny uživatelů, kteří mají z této povinnosti výjimku. Proměnná NotEnforcedGroup obsahuje řetězcovou hodnotu definující název místní nebo adresářové skupiny, na kterou se povinné použití čipových karet nebude vztahovat. Tato konfigurace se někdy označuje jako User Based Enforcement (nastavení vynucované na úrovni uživatelů) a umožňuje nastavit služby čipových karet pro jednotlivé uživatele. Aby bylo tuto funkci možné využít, je nutné nejprve nastavit povinné použití čipových karet na úrovni počítače ve službě správy mobilních zařízení (MDM) nebo pomocí příkazu
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Kromě toho je systém nutné nastavit tak, aby uživatelům bez spárované čipové karty umožňoval přihlášení pomocí hesla:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Jako vodítko můžete použít níže uvedenou ukázku souboru /private/etc/SmartcardLogin.plist. SKUPINA_VYJIMEK je název skupiny uživatelů, pro které má platit výjimka. Na uživatele přidané do této skupiny se povinnost přihlašovat se pomocí čipové karty nevztahuje, pokud jsou specifikovanými členy skupiny nebo pokud je pro skupinu samotnou specifikována výjimka. Po úpravě souboru se ujistěte, že jeho vlastníkem je uživatel „root“ a že je u něj nastaveno všeobecné oprávnění ke čtení („world readable“).
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>