Konfigurieren eines Mac für die Authentifizierung ausschließlich mit Smartcard
macOS unterstützt die Authentifizierung ausschließlich mit Smart Card, bei der die Nutzung einer Smart Card erzwungen und die passwortbasierte Authentifizierung vollständig deaktiviert wird. Diese Richtlinie wird auf allen Mac-Computern durchgesetzt und kann mithilfe einer Ausnahmegruppe für einzelne Benutzer geändert werden, falls ein Benutzer keine funktionierende Smart Card zur Verfügung hat.
Authentifizierung ausschließlich mit Smart Card maschinenbasiert durchsetzen
macOS 10.13.2 (oder neuer) unterstützt die ausschließliche Authentifizierung per Smart Card bei erzwungener Nutzung einer Smart Card, was die passwortbasierte Authentifizierung vollständig deaktiviert. Dies wird oft auch „Gerätebasierte Durchsetzung“ (Machine Based Enforcement, MBE) genannt. Damit diese Funktion genutzt werden kann, muss die zwingende Smart Card-Durchsetzung mit einer MDM-Lösung oder anhand des folgenden Befehls festgelegt werden:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Weitere Anleitungen zum Konfigurieren von macOS für die Authentifizierung ausschließlich mit Smart Card findest du im Apple Support-Artikel macOS für die Authentifizierung ausschließlich mit Smart Card konfigurieren.
Authentifizierung ausschließlich mit Smart Card benutzerbasiert durchsetzen
Für die Durchsetzung auf Benutzerbasis wird eine Benutzergruppe definiert, die von der Smart Card-Anmeldung ausgenommen wird. NotEnforcedGroup enthält einen Zeichenfolgenwert, der den Namen einer lokalen Gruppe oder einer Verzeichnisgruppe definiert, die nicht in die zwingende Smart Card-Durchsetzung einbezogen wird. Diese Methode wird gelegentlich als benutzerbasierte Durchsetzung bezeichnet und stellt die benutzerbasierte Granularität für Smart Card-Dienste bereit. Damit diese Funktion genutzt werden kann, muss die maschinenbasierte Smart Card-Durchsetzung zunächst mit einer MDM-Lösung oder anhand des folgenden Befehls festgelegt werden:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Darüber hinaus muss das System so konfiguriert werden, dass sich Benutzer, die nicht mit einer Smart Card gekoppelt sind, mit ihrem Passwort anmelden können:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Die Beispieldatei „/private/etc/SmartcardLogin.plist“ kann hierbei als Orientierungshilfe dienen. Verwende EXEMPT_GROUP für den Namen der Gruppe, die für Ausnahmen genutzt wird. Ein Benutzer, der dieser Gruppe hinzugefügt wird, ist von der Smart Card-Anmeldung ausgenommen, solange er ein definiertes Mitglied dieser Gruppe ist und die Gruppe selbst für die Ausnahme definiert ist. Stelle nach der Bearbeitung sicher, dass „root“ für den Eigentümer festgelegt ist und dass Berechtigungen als allgemein lesbar definiert sind.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>