Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
配置 Mac 以使用仅智能卡认证
macOS 支持仅智能卡认证以实现智能卡强制使用,该功能会停用所有基于密码的认证。此策略贯穿所有 Mac 电脑,在用户没有可用的智能卡时,可使用免除群组基于每个用户进行更改。
使用基于机器的执行方案的仅智能卡认证
macOS 10.13.2 或更高版本支持仅智能卡认证以实现智能卡强制使用,该功能会停用所有基于密码的认证,通常称为基于机器的执行方案。为了使用此功能,必须使用移动设备管理 (MDM) 解决方案或以下命令建立智能卡强制执行方案:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true有关配置 macOS 以使用仅智能卡认证的其他说明,请参阅 Apple 支持文章:配置 macOS 以使用仅智能卡认证。
使用基于用户的执行方案的仅智能卡认证
基于用户的执行方案通过指定可免除智能卡登录的用户群组来实现。NotEnforcedGroup 包含一个字符串值,它定义了不包括在智能卡强制执行方案中的本地或目录群组的名称。此功能有时称为“基于用户的执行方案”,可针对每个用户提供不同精度的智能卡服务。为了使用此功能,必须先使用移动设备管理 (MDM) 解决方案或以下命令建立基于机器的执行方案:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool true此外,系统还必须配置为允许未与智能卡配对的用户使用其密码登录:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1使用以下“/private/etc/SmartcardLogin.plist”示例文件作为指导。用于免除的群组名称应使用 EXEMPT_GROUP。你添加到此群组中的任何用户都将免除智能卡登录,只要是群组中的指定成员或者群组本身已指定为免除群组。在编辑后,验证所有权为 root,且许可已设为“全局可读”。
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>
感谢您的反馈。