Διαμόρφωση Mac για έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας
Το macOS υποστηρίζει τον έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας για την υποχρεωτική χρήση μιας έξυπνης κάρτας, κάτι που απενεργοποιεί τον έλεγχο ταυτότητας βάσει συνθηματικού. Αυτή η πολιτική έχει καθιερωθεί σε όλους τους υπολογιστές Mac και μπορεί να τροποποιηθεί ανά χρήστη με χρήση μιας ομάδας εξαίρεσης, σε περίπτωση που ένας χρήστης δεν έχει διαθέσιμη κάποια λειτουργική έξυπνη κάρτα.
Έλεγχος ταυτότητας μόνο μέσω έξυπνης κάρτας με χρήση μηχανικής επιβολής
Το macOS 10.13.2 ή μεταγενέστερη έκδοση υποστηρίζει τον έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας για την υποχρεωτική χρήση μιας έξυπνης κάρτας, κάτι που απενεργοποιεί τον έλεγχο ταυτότητας βάσει συνθηματικού, και κάποιες φορές αποκαλείται επιβολή βάσει υπολογιστή. Για αξιοποίηση αυτής της δυνατότητας, πρέπει να καθιερωθεί η υποχρεωτική επιβολή έξυπνης κάρτας μέσω μιας λύσης MDM (Διαχείριση φορητών συσκευών) ή με την ακόλουθη εντολή:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Για πρόσθετες οδηγίες σχετικά με τη διαμόρφωση του macOS για έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας, ανατρέξτε στο άρθρο της Υποστήριξης Apple Διαμόρφωση του macOS για έλεγχο ταυτότητας μόνο μέσω έξυπνης κάρτας.
Έλεγχος ταυτότητας μόνο μέσω έξυπνης κάρτας με χρήση επιβολής βάσει χρήστη
Η επιβολή βάσει χρήστη επιτυγχάνεται μέσω του καθορισμού μιας ομάδας χρηστών που εξαιρούνται από την είσοδο μέσω έξυπνης κάρτας. Το NotEnforcedGroup περιέχει μια τιμή συμβολοσειράς που καθορίζει το όνομα μιας τοπικής ομάδας ή ομάδας καταλόγου που δεν συμπεριλαμβάνεται στην υποχρεωτική επιβολή έξυπνης κάρτας. Αυτό αναφέρεται κάποιες φορές ως επιβολή βάσει χρήστη και παρέχει αναλυτικότητα σε επίπεδο χρήστη για τις υπηρεσίες έξυπνης κάρτας. Για αξιοποίηση αυτής της δυνατότητας, πρέπει πρώτα να καθιερωθεί η επιβολή βάσει υπολογιστή μέσω μιας λύσης MDM ή με την ακόλουθη εντολή:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Επιπρόσθετα, το σύστημα πρέπει να διαμορφωθεί ώστε να επιτρέπεται σε χρήστες που δεν είναι συσχετισμένοι με μια έξυπνη κάρτα να πραγματοποιούν είσοδο με το συνθηματικό τους:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Χρησιμοποιήστε το παρακάτω παράδειγμα αρχείου /private/etc/SmartcardLogin.plist για καθοδήγηση. Χρησιμοποιήστε το EXEMPT_GROUP ως όνομα της ομάδας που χρησιμοποιείται για εξαιρέσεις. Όποιον χρήστη προσθέσετε σε αυτήν την ομάδα θα εξαιρεθεί από την είσοδο μέσω έξυπνης κάρτας, με την προϋπόθεση ότι είναι καθορισμένο μέλος της ομάδας ή η ίδια η ομάδα έχει καθοριστεί ότι εξαιρείται. Επαληθεύστε ότι η ιδιοκτησία είναι ριζική και ότι τα δικαιώματα έχουν οριστεί σε «ανάγνωση από όλους» μετά την επεξεργασία.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>