macOS für die Authentifizierung ausschließlich mit Smart Card konfigurieren
Die Smart-Card-Authentifizierung bietet eine starke Zwei-Faktor-Authentifizierung in macOS Sierra und neuer. macOS High Sierra 10.13.2 und neuer unterstützt die Authentifizierung ausschließlich mit Smart Card für die verpflichtende Verwendung einer Smart Card, bei der die passwortbasierte Authentifizierung deaktiviert wird.
Dieser Artikel richtet sich an Systemadministratoren, die für die Sicherheitsrichtlinien in Unternehmensumgebungen mit Smart-Card-Authentifizierung verantwortlich sind.
Anmeldung ausschließlich mit Smart Card aktivieren
Befolge diese Schritte sorgfältig, um sicherzustellen, dass sich Benutzer beim Computer anmelden können.
Verknüpfe eine Smart Card mit einem Admin-Benutzeraccount, oder konfiguriere die Attributzuordnung.
Wenn du strenge Zertifikatprüfungen aktiviert hast, installiere alle erforderlichen Stammzertifikate oder Zwischenprodukte.
Vergewissere dich, dass du dich mit einer Smart Card bei einem Administratoraccount anmelden kannst.
Installiere ein Smart Card-Konfigurationsprofil installieren, das „Konfigurationsprofil ausschließlich mit Smart Card unten gezeigt.
Vergewissere dich, dass du dich weiterhin mit einer Smart Card anmelden kannst.
Weitere Informationen zu den Payload-Einstellungen der Smart Card findest du in der Referenz zu Apple-Konfigurationsprofilen.
Weitere Informationen zur Verwendung von Smart Card-Diensten findest du im Bereitstellungshandbuch für macOS, oder indem du Terminal öffnest und man SmartCardServices
eingibst.
Authentifizierung ausschließlich mit Smart Card deaktivieren
Wenn du die auf dem Computer installierten Profile manuell verwaltest, kannst du das Profil ausschließlich mit Smart Card auf zwei Arten entfernen. Du kannst den Bereich „Profile“ in den Systemeinstellungen oder das Befehlszeilentool „/usr/bin/profiles“ verwenden. Um weitere Informationen zu erhalten, öffne Terminal, und gib man profiles
ein.
Wenn deine Clientcomputer beim Mobile Device Management (MDM) registriert sind, kannst du die passwortbasierte Authentifizierung wiederherstellen. Entferne dazu das Smart Card-Konfigurationsprofil, das die Beschränkung „Nur Smart Card“ aktiviert, von den Clientcomputern.
Um zu verhindern, dass Benutzeraccounts gesperrt werden, entferne das Profil „enforceSmartCard“, bevor du eine Smart Card entkoppelst oder den Attributabgleich deaktivierst. Wenn ein Benutzeraccount gesperrt wurde, entferne das Konfigurationsprofil, um das Problem zu beheben.
Wenn du die Richtlinie „Nur Smart Card“ anwendest, bevor du die Authentifizierung ausschließlich mit Smart Card aktivierst, kann ein Computer für seinen Benutzer gesperrt werden. Um dieses Problem zu beheben, entferne die Richtlinie „Nur Smart Card“ wie folgt:
Starte deinen Mac, und halte dann sofort Befehlstaste-R gedrückt, um über die macOS-Wiederherstellung zu starten. Lass die Tasten los, wenn das Apple-Logo, ein sich drehender Globus oder eine Aufforderung zur Eingabe eines Firmware-Passworts angezeigt wird.
Wähle im Fenster „Dienstprogramme“ die Option „Festplattendienstprogramm“ aus, und klicke dann auf „Fortfahren“.
Wähle in der Seitenleiste „Festplattendienstprogramm“ das Volume, das du verwenden möchtest, und dann in der Menüleiste „Ablage“ > „Aktivieren“ aus. (Wenn das Volume bereits aktiviert ist, wird diese Option grau dargestellt.) Gib dann dein Administratorkennwort ein, wenn du dazu aufgefordert wirst.
Beende das Festplattendienstprogramm.
Wähle „Terminal“ aus dem Menü „Dienstprogramme“ in der Menüleiste aus.
Lösche das Konfigurationsprofil-Repository. Öffne dazu Terminal, und gib die folgenden Befehle ein.
Ersetzen Sie in diesen Befehlen mit dem Namen des macOS-Volumes, auf dem die Profileinstellungen installiert wurden.
rm /Volumes//var/db/ConfigurationProfiles/MDM_ComputerPrefs.plist
rm /Volumes//var/db/ConfigurationProfiles/.profilesAreInstalled
rm /Volumes//var/db/ConfigurationProfiles/Settings/.profilesAreInstalled
rm /Volumes//var/db/ConfigurationProfiles/Store/ConfigProfiles.binary
rm /Volumes//var/db/ConfigurationProfiles/Setup/.profileSetupDone
Wenn du fertig bist, wähle das Menü „Apple“ () > „Neustart“ aus.
Installiere alle Konfigurationsprofile neu, die vor der Aktivierung der Authentifizierung ausschließlich mit Smart Card existierten.
Secure Shell Daemon (SSHD) zur Unterstützung der Authentifizierung ausschließlich mit Smart Card konfigurieren
Benutzer können ihre Smartcard verwenden, um sich über SSH beim lokalen Computer oder bei Remote-Computern, die korrekt konfiguriert sind, zu authentifizieren. Befolge diese Schritte, um SSHD auf einem Computer so zu konfigurieren, dass die Smart Card-Authentifizierung unterstützt wird.
Aktualisiere die Datei „/etc/ssh/sshd_config“:
Verwende den folgenden Befehl, um die Datei „sshd_config“ zu sichern:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup_`date "+%Y-%m-%d_%H:%M"`
Ändere in der Datei „sshd_config“ „#ChallengeResponseAuthentication yes“ zu „ChallengeResponseAuthentication no“ und „#PasswordAuthentication yes“ zu „#PasswordAuthentication no“.
Verwende dann die folgenden Befehle, um SSHD neu zu starten:
sudo launchctl stop com.openssh.sshd
sudo launchctl start com.openssh.sshd
Wenn ein Benutzer SSH-Sitzungen mit einer Smart Card authentifizieren möchte, bitte ihn, die folgenden Schritte auszuführen:
Verwende den folgenden Befehl, um den öffentlichen Schlüssel von seiner Smart Card zu exportieren:
ssh-keygen -D /usr/lib/ssh-keychain.dylib
Füge den öffentlichen Schlüssel aus dem vorherigen Schritt zur Datei „~/.ssh/authorized_keys“ auf dem Zielcomputer hinzu.
Verwende den folgenden Befehl, um die Datei „ssh_config“ zu sichern:
sudo cp /etc/ssh/ssh_config /etc/ssh/ssh_config_backup_`date "+%Y-%m-%d_%H:%M"`
Füge in der Datei „/etc/ssh/ssh_config“ die Zeile „PKCS11Provider=/usr/lib/ssh-keychain.dylib.“ hinzu.
Auf Wunsch kann ein Benutzer auch den folgenden Befehl verwenden, um den privaten Schlüssel zu seinem ssh-Agenten hinzuzufügen:
ssh-add -s /usr/lib/ssh-keychain.dylib
Ausschließlich Smart Card für den SUDO-Befehl aktivieren
Verwende den folgenden Befehl, um die Datei „/etc/pam.d/sudo“ zu sichern:
sudo cp /etc/pam.d/sudo /etc/pam.d/sudo_backup_`date "+%Y-%m-%d_%H:%M"`
Ersetze dann den gesamten Inhalt der Datei „/etc/pam.d/sudo“ durch den folgenden Text:
# sudo: auth account password session auth sufficient pam_smartcard.so auth required pam_opendirectory.so auth required pam_deny.so account required pam_permit.so password required pam_deny.so session required pam_permit.so
Ausschließlich Smart Card für den LOGIN-Befehl aktivieren
Verwende den folgenden Befehl, um die Datei „/etc/pam.d/login“ zu sichern:
sudo cp /etc/pam.d/login /etc/pam.d/login_backup_`date „+%Y-%m-%d_%H:%M“`
Ersetze dann den gesamten Inhalt der Datei „/etc/pam.d/login“ durch den folgenden Text:
# login: auth account password session auth sufficient pam_smartcard.so auth optional pam_krb5.so use_kcminit auth optional pam_ntlm.so try_first_pass auth optional pam_mount.so try_first_pass auth required pam_opendirectory.so try_first_pass auth required pam_deny.so account required pam_nologin.so account required pam_opendirectory.so password required pam_opendirectory.so session required pam_launchd.so session required pam_uwtmp.so session optional pam_mount.so
Ausschließlich Smart Card für den SU-Befehl aktivieren
Verwende den folgenden Befehl, um die Datei „/etc/pam.d/su“ zu sichern:
sudo cp /etc/pam.d/su /etc/pam.d/su_backup_`date „+%Y-%m-%d_%H:%M“`
Ersetze dann den gesamten Inhalt der Datei „/etc/pam.d/su“ durch den folgenden Text:
# su: auth account password session auth sufficient pam_smartcard.so auth required pam_rootok.so auth required pam_group.so no_warn group=admin,wheel ruser root_only fail_safe account required pam_permit.so account required pam_opendirectory.so no_check_shell password required pam_opendirectory.so session required pam_launchd.so
Beispiel für ein Konfigurationsprofil ausschließlich mit Smart Card
Dies ist ein Beispiel für ein Konfigurationsprofil ausschließlich mit Smart Card. Es enthält die unterschiedlichen Arten von Schlüsseln und Strings, die in diesem Profiltyp vorhanden sind.
PayloadContent PayloadDescription Configures smart card-only PayloadDisplayName Smart card-only PayloadIdentifier com.apple.configprofile.78. PayloadOrganization Apple PayloadType com.apple.security.smartcard PayloadUUID 5A15247B-899C-474D-B1D7-DBD82BDE5678 PayloadVersion 1 UserPairing allowSmartCard checkCertificateTrust enforceSmartCard PayloadDescription Smart Card-Profil. PayloadDisplayName Smart card-only PayloadIdentifier com.apple.configprofile.77 PayloadOrganization PayloadRemovalDisallowed PayloadType Configuration PayloadScope system PayloadUUID 7D34CC86-C707-44D2-9A9F-C5F6E347BD77 PayloadVersion 1