Configurer un Mac pour une authentification par carte à puce uniquement
macOS prend en charge l’authentification par carte à puce uniquement, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Cette règle est établie sur l’ensemble des ordinateurs Mac et peut être modifiée par utilisateur à l’aide d’un groupe d’exemption, dans le cas où un utilisateur ne dispose pas d’une carte à puce fonctionnelle.
Authentification par carte à puce uniquement à l’aide de l’application basée sur la machine
macOS 10.13.2 ou ultérieur prend en charge l’authentification par carte à puce uniquement, souvent appelée application basée sur la machine, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Afin de tirer parti de cette fonctionnalité, l’application obligatoire de la carte à puce doit être établie au moyen d’une solution de gestion des appareils mobiles (MDM) ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Pour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification par carte à puce uniquement, consultez l’article Configurer macOS pour une identification par carte intelligente uniquement de l’assistance Apple.
Authentification par carte à puce uniquement à l’aide de l’application basée sur l’utilisateur
L’application basée sur l’utilisateur est accomplie en précisant un groupe d’utilisateurs qui sont exemptés de l’ouverture de session par carte à puce. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou d’annuaires qui ne sera pas inclus dans l’application obligatoire de la carte à puce. Cette méthode est parfois appelée l’application basée sur l’utilisateur. Elle fournit une granularité par utilisateur pour les services de carte à puce. Afin de tirer parti de cette fonctionnalité, l’application basée sur la machine doit d’abord être établie au moyen d’une solution de gestion des appareils mobiles (MDM) ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
De plus, le système doit être configuré pour permettre aux utilisateurs qui ne sont pas jumelés avec une carte à puce d’ouvrir une session avec leur mot de passe :
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous pour vous guider. Utilisez EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur ajouté à ce groupe est exempté de l’ouverture de session par carte à puce, tant qu’il s’agit d’un membre spécifié du groupe ou que le groupe lui-même est spécifié pour l’exemption. Vérifiez que la propriété est « root » (racine) et que les autorisations sont définies sur « world read » (lisibles dans le monde entier) après la modification.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>