Configurer un Mac pour une authentification par carte à puce uniquement
macOS prend en charge l’authentification par carte à puce uniquement, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Cette règle est établie sur l’ensemble des ordinateurs Mac et peut être modifiée par utilisateur à l’aide d’un groupe d’exemption, dans le cas où un utilisateur ne dispose pas d’une carte à puce fonctionnelle.
Authentification par carte à puce uniquement à l’aide de l’application basée sur la machine
Les Mac dotés de macOS 10.13.2 ou ultérieur prennent en charge l’authentification par carte à puce uniquement, souvent appelée application basée sur la machine, pour rendre obligatoire l’utilisation d’une carte à puce, ce qui désactive l’authentification par mot de passe. Pour tirer parti de cette fonctionnalité, vous devez établir l’application obligatoire de la carte à puce au moyen d’un service de gestion des appareils ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification par carte à puce uniquement, consultez l’article Configurer macOS pour une identification par carte intelligente uniquement de l’assistance Apple.
Authentification par carte à puce uniquement à l’aide de l’application basée sur l’utilisateur
Vous mettez en œuvre l’application basée sur l’utilisateur en précisant un groupe d’utilisateurs qui sont exemptés de l’ouverture de session par carte à puce. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou d’annuaires qui ne sera pas inclus dans l’application obligatoire de la carte à puce. Cela permet d’obtenir une granularité par utilisateur pour les services de carte à puce. Pour tirer parti de cette fonctionnalité, vous devez d’abord établir l’application basée sur la machine au moyen d’un service de gestion des appareils ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDe plus, le système doit être configuré pour permettre aux utilisateurs qui ne sont pas jumelés avec une carte à puce d’ouvrir une session avec leur mot de passe :
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous pour vous guider. Utilisez EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur ajouté à ce groupe est exempté de l’ouverture de session par carte à puce, tant qu’il s’agit d’un membre spécifié du groupe ou que le groupe lui-même est spécifié pour l’exemption. Vérifiez que la propriété est « root » (racine) et que les autorisations sont définies sur « world read » (lisibles dans le monde entier) après la modification.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>