A Mac konfigurálása a kizárólag intelligens kártyával történő hitelesítéshez
A macOS rendszer támogatja a csak intelligens kártyával történő hitelesítést egy intelligens kártya kötelező használata révén, amely letilt minden jelszóalapú hitelesítést. Ez a szabályzat az összes Mac számítógépen érvényesül, és felhasználónként módosítható egy mentességi csoport segítségével, amennyiben a felhasználó nem rendelkezik működő intelligens kártyával.
Kizárólag intelligens kártyával történő hitelesítés gépalapú érvényesítés használatával
A macOS 10.13.2 és újabb rendszerek támogatják a csak intelligens kártyával történő hitelesítést egy intelligens kártya kötelező használata révén, amely letilt minden jelszóalapú hitelesítést. Ezt gyakran gép általi kényszerítésnek nevezzük. A funkció által nyújtott előnyök kihasználása érdekében létre kell hozni az intelligens kártyák kötelező használatának érvényesítését egy mobileszköz-felügyeleti (MDM) megoldás segítségével vagy az alábbi parancs használatával:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Ha további részleteket szeretne megtudni arról, hogy lehet konfigurálni a macOS rendszert a csak intelligens kártyával történő hitelesítéshez, tekintse meg a következő Apple támogatási cikket: A macOS konfigurálása a csak intelligens kártyával történő hitelesítéshez.
Kizárólag intelligens kártyával történő hitelesítés gépalapú érvényesítés használatával
A felhasználónkénti érvényesítés megvalósításához meg kell adni egy felhasználói csoportot, amely mentesül az intelligens kártyával történő bejelentkezés alól. A NotEnforcedGroup egy karakterláncértéket tartalmaz, és ez az érték egy olyan helyi vagy Directory-csoport nevét definiálja, amely nem lesz belefoglalva az intelligens kártya kötelező használatának érvényesítésébe. Ez felhasználóalapú érvényesítés néven is ismert, és felhasználónkénti részletességet biztosít az intelligens kártyák szolgáltatásaihoz. A funkció által nyújtott előnyök kihasználása érdekében létre kell hozni a gépalapú érvényesítést egy mobileszköz-felügyeleti (MDM) megoldás segítségével vagy az alábbi parancs használatával:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Ezenkívül a rendszert úgy kell konfigurálni, hogy az intelligens kártyával nem párosított felhasználók számára lehetővé tegye a jelszavas bejelentkezést:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Használja a /private/etc/SmartcardLogin.plist mintafájlt útmutatásként. Az EXEMPT_GROUP értékeként a mentesülési csoport nevét kell megadni. A csoporthoz hozzáadott felhasználók mentesülnek az intelligens kártyával történő bejelentkezés alól, amennyiben a csoport tagjaként vannak megadva, vagy ha a csoport esetében be van állítva a mentesülés. Ellenőrizni kell, hogy a tulajdonjoghoz a gyökér érték van megadva, az engedélyek pedig „globális olvasható” értékre vannak állítva a szerkesztést követően.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>