Configurar un Mac para la autenticación exclusiva con tarjeta inteligente
macOS admite la autenticación exclusiva con tarjeta inteligente para imponer el uso de tarjetas inteligentes, lo que desactiva toda autenticación por contraseña. Esta política se establece en todos los ordenadores Mac y puede cambiarse a nivel de usuario mediante un grupo de exención, en el caso de que un usuario no disponga de una tarjeta inteligente en funcionamiento.
Autenticación exclusiva con tarjeta inteligente mediante la imposición basada en equipos
macOS 10.13.2 o posterior admite la autenticación exclusiva con tarjeta inteligente para imponer el uso de tarjetas inteligentes, lo que desactiva toda autenticación por contraseña, lo que se suele denominar imposición basada en equipos. Para poder utilizar esta función, debe obligarse a los usuarios a utilizar una tarjeta inteligente, bien mediante una solución de gestión de dispositivos móviles (MDM), bien mediante el siguiente comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePara obtener instrucciones adicionales sobre cómo configurar macOS para utilizar este tipo de autenticación, consulta el artículo de soporte de Apple Configurar macOS para la autenticación exclusiva con tarjeta inteligente.
Autenticación exclusiva con tarjeta inteligente mediante la imposición basada en usuarios
Para usar la imposición basada en usuarios, se debe especificar un grupo de usuarios que están exentos de iniciar sesión con tarjetas inteligentes. NotEnforcedGroup contiene un valor de cadena de caracteres que define el nombre de un grupo local o del directorio que no estará incluido cuando se imponga el uso obligatorio de tarjetas inteligentes. Este método suele recibir el nombre de imposición basada en usuarios y permite controlar los servicios de tarjeta inteligente al detalle. Para poder utilizar esta función, antes debe configurarse la imposición basada en equipos, bien mediante una solución de gestión de dispositivos móviles (MDM), bien mediante el siguiente comando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueAdemás, el sistema debe configurarse para permitir que los usuarios que no estén enlazados a una tarjeta inteligente inicien sesión con su contraseña:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Guíate por el siguiente archivo /private/etc/SmartcardLogin.plist de ejemplo. Usa EXEMPT_GROUP para el nombre del grupo utilizado para las exenciones. Cualquier usuario que añadas a este grupo estará exento de iniciar sesión con tarjeta inteligente siempre que forme parte del grupo o que el grupo en cuestión esté especificado para estar exento. Verifica que la propiedad sea de raíz y que los permisos estén configurados para ser “legibles por Mundo” después de editarlo.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>