Mac für die Authentifizierung ausschließlich mit Smartcard konfigurieren
macOS unterstützt die Authentifizierung ausschließlich mit Smart Card, bei der die Nutzung einer Smart Card erzwungen und die passwortbasierte Authentifizierung vollständig gestoppt wird. Diese Richtlinie wird auf allen Mac-Computern durchgesetzt und kann mithilfe einer Ausnahmegruppe für einzelne Benutzer geändert werden, falls ein Benutzer keine funktionierende Smart Card zur Verfügung hat.
Authentifizierung ausschließlich mit Smart Card maschinenbasiert durchsetzen
Ein Mac mit macOS 10.13.2 (oder neuer) unterstützt die ausschließliche Authentifizierung per Smart Card bei erzwungener Nutzung einer Smart Card, was die passwortbasierte Authentifizierung vollständig stoppt. Dies wird oft auch gerätebasierte Durchsetzung (Machine Based Enforcement, MBE) genannt. Damit diese Funktion genutzt werden kann, musst du die zwingende Smart Card-Durchsetzung mit einem Geräteverwaltungsdienst oder anhand des folgenden Befehls festlegen:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueWeitere Anleitungen zum Konfigurieren von macOS für die Authentifizierung ausschließlich mit Smart Card findest du im Apple Support-Artikel macOS für die Authentifizierung ausschließlich mit Smart Card konfigurieren.
Authentifizierung ausschließlich mit Smart Card benutzerbasiert durchsetzen
Du setzt die Durchsetzung auf Benutzerbasis um, indem du eine Benutzergruppe definierst, die von der Smart Card-Anmeldung ausgenommen wird. NotEnforcedGroup enthält einen Zeichenfolgenwert, der den Namen einer lokalen Gruppe oder einer Verzeichnisgruppe definiert, die nicht in die zwingende Smart Card-Durchsetzung einbezogen wird. Dies stellt die benutzerbasierte Granularität für Smartcard-Dienste bereit. Um diese Funktion zu nutzen, muss zunächst die maschinenbasierte Durchsetzung mit einem Geräteverwaltungsdienst oder mithilfe des folgenden Befehls festgelegt werden:
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDarüber hinaus muss das System so konfiguriert werden, dass sich Benutzer:innen, die nicht mit einer Smart Card gekoppelt sind, mit ihrem Passwort anmelden können:
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Die Beispieldatei „/private/etc/SmartcardLogin.plist“ kann hierbei als Orientierungshilfe dienen. Verwende EXEMPT_GROUP für den Namen der Gruppe, die für Ausnahmen genutzt wird. Ein Benutzer, der dieser Gruppe hinzugefügt wird, ist von der Smart Card-Anmeldung ausgenommen, solange er ein definiertes Mitglied dieser Gruppe ist und die Gruppe selbst für die Ausnahme definiert ist. Stelle nach der Bearbeitung sicher, dass „root“ für den Eigentümer festgelegt ist und dass Berechtigungen als allgemein lesbar definiert sind.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>