Een Mac configureren voor verplichte authenticatie met een smartcard
macOS ondersteunt verplichte authenticatie met een smartcard, waarbij alleen een smartcard kan worden gebruikt en authenticatie met een wachtwoord volledig wordt uitgeschakeld. Dit beleid geldt voor alle Mac-computers en kan per gebruiker worden gewijzigd via een uitzonderingsgroep voor het geval een gebruiker geen functionerende smartcard heeft.
Verplichte authenticatie met een smartcard via op de computer gebaseerde handhaving
macOS 10.13.2 of nieuwer ondersteunt verplichte authenticatie met een smartcard, waarbij alleen een smartcard kan worden gebruikt en authenticatie met een wachtwoord volledig wordt uitgeschakeld. Dit wordt ook wel Machine Based Enforcement genoemd. Om deze functie te kunnen gebruiken, moet verplichte authenticatie met een smartcard worden ingesteld via een MDM-oplossing (Mobile Device Management) of door het volgende commando uit te voeren:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Zie het Apple Support-artikel macOS configureren voor verplichte authenticatie met smartcard voor meer instructies om macOS te configureren voor verplichte authenticatie met een smartcard.
Verplichte authenticatie met een smartcard via op de gebruiker gebaseerde handhaving
Op de gebruiker gebaseerde handhaving wordt ingesteld door een gebruikersgroep op te geven die is uitgezonderd van het inloggen met een smartcard. NotEnforcedGroup bevat een tekenreekswaarde die de naam voorstelt van een lokale of adreslijstgroep waarvoor verplichte authenticatie met een smartcard niet van toepassing is. Dit wordt ook wel op de gebruiker gebaseerde handhaving genoemd en biedt de mogelijkheid om smartcardvoorzieningen per gebruiker in te stellen. Om deze functie te kunnen gebruiken, moet eerst op de computer gebaseerde handhaving worden ingesteld via een MDM-oplossing (Mobile Device Management) of door het volgende commando uit te voeren:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true
Daarnaast moet het systeem zo worden geconfigureerd dat gebruikers die niet aan een smartcard zijn gekoppeld, kunnen inloggen met een wachtwoord:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1
Het voorbeeldbestand /private/etc/SmartcardLogin.plist hieronder kan als richtlijn worden gebruikt. Gebruik voor EXEMPT_GROUP de naam van de groep die voor uitzonderingen wordt gebruikt. De gebruikers die je aan deze groep toevoegt, hoeven niet met een smartcard in te loggen, zolang ze specifiek deel uitmaken van de groep en de groep zelf is aangemerkt als uitzondering. Verifieer na het wijzigen van het bestand of de eigenaar is ingesteld op 'root' en de leesbevoegdheden zijn ingesteld op 'world'.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>NotEnforcedGroup</key>
<string>EXEMPT_GROUP</string>
</dict>
</plist>