Configuration du Mac pour une authentification exclusive par carte à puce
macOS prend en charge l’authentification exclusivement par carte à puce pour l’utilisation obligatoire d’une carte à puce, ce qui met fin à toute authentification par mot de passe. Cette règle est établie dans tous les ordinateurs Mac et est modifiable pour chaque utilisateur à l’aide d’un groupe d’exemption si un utilisateur n’a pas une carte à puce opérationnelle à sa disposition.
Authentification exclusivement par carte à puce selon une application basée sur l’ordinateur
Un Mac sous macOS 10.13.2 ou une version ultérieure prend en charge l’authentification exclusivement par carte à puce pour l’utilisation obligatoire d’une carte à puce, ce qui met fin à toute authentification par mot de passe et est souvent appelé application basée sur l’ordinateur. Afin d’utiliser cette fonctionnalité, vous devez mettre en place une utilisation obligatoire de la carte à puce à l’aide d’un service de gestion des appareils ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool truePour obtenir des instructions supplémentaires sur la configuration de macOS pour l’authentification exclusivement par carte à puce, consultez l’article de l’assistance Apple Configurer macOS pour une identification par carte à puce uniquement.
Authentification exclusive par carte à puce selon une application basée sur l’utilisateur
Vous mettez en œuvre l’application basée sur l’utilisateur en indiquant un groupe d’utilisateurs qui est exempté de la connexion par carte à puce. NotEnforcedGroup contient une valeur de chaîne qui définit le nom d’un groupe local ou de répertoire que vous excluez de l’utilisation obligatoire de carte à puce. Elle offre une granularité par utilisateur pour les services de carte à puce. Afin d’utiliser cette fonctionnalité, vous devez d’abord mettre en place une utilisation basée sur l’ordinateur à l’aide d’un service de gestion des appareils ou en utilisant la commande suivante :
sudo defaults write /Library/Preferences/com.apple.security.smartcard enforceSmartCard -bool trueDe plus, le système doit être configuré pour autoriser les utilisateurs qui ne sont pas jumelés avec une carte à puce à se connecter avec leur mot de passe :
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowUnmappedUsers -int 1Utilisez l’exemple de fichier /private/etc/SmartcardLogin.plist ci-dessous à titre de référence. Utilisez la valeur EXEMPT_GROUP pour le nom du groupe utilisé pour les exemptions. Tout utilisateur que vous ajoutez à ce groupe est exempté de la connexion par carte à puce tant qu’il demeure un membre du groupe ou que le groupe demeure dans l’exemption. Vérifiez que le propriétaire est root et que les autorisations sont « universelles » après la modification.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>NotEnforcedGroup</key> <string>EXEMPT_GROUP</string></dict></plist>