Nakonfigurovanie Macu na autentifikáciu len pomocou karty Smart Card
Systém macOS podporuje režim autentifikácie len pomocou karty smart card, v ktorom je použitie karty smart card povinné, a všetky metódy autentifikácie pomocou hesla sú deaktivované. Toto pravidlo platí pre všetky počítače Mac a možno z neho vyňať jednotlivých užívateľov zaradením do skupiny výnimiek v prípade, že užívateľ nemá k dispozícii funkčnú kartu Smart Card.
Autentifikácia len pomocou karty smart card vynucovaná na úrovni počítača
Systém macOS 10.13.2 a novší podporuje režim autentifikácie len pomocou karty smart card, v ktorom je použitie karty smart card povinné, pričom všetky metódy autentifikácie pomocou hesla sú deaktivované. Takýto spôsob sa často označuje ako vynútenie na úrovni počítača. Aby bolo túto funkciu možné využívať, je nutné nastaviť povinné použitie karty smart card pomocou riešenia správy mobilných zariadení (MDM) alebo nasledujúceho príkazu:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Ďalšie pokyny na nakonfigurovanie systému macOS na autentifikáciu len pomocou karty smart card nájdete v článku podpory Apple Konfigurácia systému macOS na autentifikáciu len pomocou karty smart card.
Autentifikácia len pomocou karty smart card na základe vynútenia na úrovni užívateľa
Vynútenie na úrovni užívateľa sa vykonáva nastavením užívateľskej skupiny, ktorí majú výnimku z prihlasovania pomocou karty Smart Card. Premenná NotEnforcedGroup obsahuje hodnotu reťazca definujúcu názov lokálnej alebo adresárovej skupiny, na ktorú sa povinné použitie karty Smart Card nebude vzťahovať. Táto konfigurácia sa niekedy označuje ako vynútenie na úrovni užívateľa a umožňuje nastaviť služby kariet smart card pre jednotlivých užívateľov. Aby bolo túto funkciu možné využívať, je nutné najprv nastaviť povinné použitie karty smart card na úrovni počítača pomocou riešenia správy mobilných zariadení (MDM) alebo nasledujúceho príkazu:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Okrem toho je systém nutné nastaviť tak, aby užívateľom bez spárovanej karty smart card umožňoval prihlásenie pomocou svojho hesla:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Ako návod môžete použiť nižšie uvedenú ukážku súboru /private/etc/SmartcardLogin.plist. Použite EXEMPT_GROUP pre názov skupiny užívateľov, pre ktorých má platiť výnimka. Na užívateľov pridaných do tejto skupiny sa povinnosť prihlasovať sa pomocou karty Smart Card nevzťahuje, ak sú špecifikovanými členmi skupiny alebo ak je pre samotnú skupinu špecifikovaná výnimka. Po úprave súboru sa uistite, že jeho vlastníkom je koreňový užívateľ a má nastavené všeobecné práva na čítanie.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>