Configuration du Mac pour une authentification exclusive par carte intelligente
macOS prend en charge l’authentification exclusivement par carte intelligente pour l’utilisation obligatoire d’une carte intelligente, ce qui désactive toute authentification par mot de passe. Cette règle est établie dans tous les ordinateurs Mac et est modifiable pour chaque utilisateur à l’aide d’un groupe d’exemption si un utilisateur n’a pas une carte intelligente opérationnelle à sa disposition.
Authentification exclusivement par carte intelligente selon une application basée sur l’ordinateur
macOS 10.13.2 ou ultérieur prend en charge l’authentification exclusivement par carte intelligente pour l’utilisation obligatoire d’une carte intelligente, ce qui désactive toute authentification par mot de passe et est souvent appelée application basée sur l’ordinateur. Afin d’utiliser cette fonctionnalité, l’utilisation obligatoire d’une carte intelligente doit être imposée à l’aide d’une solution de gestion des appareils mobiles (GAM) ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification exclusivement par carte intelligente, consultez l’article de l’assistance Apple Configurer macOS pour une identification par carte intelligente uniquement.
Authentification exclusive par carte intelligente selon une application basée sur l’utilisateur
L’application basée sur l’utilisateur est accomplie en précisant un groupe d’utilisateurs qui sont exemptés de la connexion par carte intelligente. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou de répertoire qui sera exclu de l’utilisation obligatoire de carte intelligente. On l’appelle parfois application basée sur l’utilisateur; elle offre une granularité par utilisateur pour les services de carte intelligente. Afin d’utiliser cette fonctionnalité, l’application basée sur l’ordinateur doit d’abord être imposée à l’aide d’une solution de gestion des appareils mobiles (GAM) ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDe plus, le système doit être configuré pour autoriser les utilisateurs qui ne sont pas jumelés avec une carte intelligente à se connecter avec leur mot de passe :
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous à titre de référence. Utilisez la valeur EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur que vous ajoutez à ce groupe est exempté de la connexion par carte intelligente tant qu’il demeure un membre du groupe ou que le groupe demeure dans l’exemption. Vérifiez que le propriétaire est root et que les autorisations sont « universelles » après la modification.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>