Konfigurer en Mac for autentisering kun med smartkort
macOS støtter autentisering kun med smartkort for obligatorisk bruk av et smartkort, noe som deaktiverer all passordbasert autentisering. Denne regelen etableres i alle Macer og kan endres for enkeltbrukere ved hjelp av en fritaksgruppe i tilfeller der en bruker ikke har et fungerende smartkort tilgjengelig.
Autentisering kun med smartkort ved hjelp av maskinbasert håndheving
Macer med macOS 10.13.2 og nyere støtter autentisering med kun smartkort. Dette innebærer at bruk av smartkort er obligatorisk, og at all passordbasert autentisering deaktiveres. Dette kalles ofte maskinbasert håndheving (machine based enforcement). For å benytte denne funksjonen må det etableres obligatorisk smartkorthåndheving ved hjelp av en MDM-løsning eller ved å bruke følgende kommando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDu finner flere instruksjoner for konfigurering av macOS for autentisering kun med smartkort i Apple-kundestøtteartikkelen Configure macOS for smart card-only authentication.
Autentisering kun med smartkort ved hjelp av brukerbasert håndheving
Brukerbasert håndheving gjennomføres ved å spesifisere en brukergruppe som vil være fritatt fra smartkortpålogging. NotEnforcedGroup inneholder en strengverdi som definerer navnet på en lokal gruppe eller kataloggruppe som ikke blir inkludert i obligatorisk smartkorthåndheving. Dette kalles noen ganger brukerbasert håndheving og sørger for mer brukerspesifikk styring av smartkorttjenester. For å benytte denne funksjonen må det etableres maskinbasert håndheving først ved hjelp av en MDM-løsning eller ved å bruke følgende kommando:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueI tillegg må systemet konfigureres til å tillate at brukere som ikke er sammenkoblet med et smartkort, kan logge på med passordet sitt:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Bruk eksemplet /private/etc/SmartcardLogin.plist file under som veiledning. Bruk EXEMPT_GROUP for navnet på gruppen som brukes for fritak. Alle brukere du legger til i denne gruppen, fritas fra smartkortpålogging, så lenge de er et spesifisert medlem av gruppen eller selve gruppen er spesifisert for fritak. Kontroller at eierskap er «rot», og at tillatelser er satt til «globalt lesbare» etter redigering.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict><key>AttributeMapping</key><dict><key>dsAttributeString</key><string>dsAttrTypeStandard:AltSecurityIdentities</string><key>fields</key><array><string>NT Principal Name</string></array><key>formatString</key><string>Kerberos:$1</string></dict><key>NotEnforcedGroup</key><string>EXEMPT_GROUP</string></dict></plist>