Přihlášení do systému MacOS pomocí místního uživatele

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Předpoklady

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Předpokládá se, že applet PIV na Nitrokey je resetován z výroby. Přepsání klíčů a certifikátů by však mělo fungovat také.

Příkazy nitropy nk3 piv je snazší použít, pokud PIN, PUK a klíč pro správu nejsou změněny, protože pak platí výchozí hodnoty. Předpokládáme tedy, že jste je dosud nezměnili. V případě, že jste tak již učinili, musíte je v případě potřeby zadat.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"
    
  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"
    
  3. Ověřte, že Nitrokey má nyní certifikáty ve slotech 9a a 9d:

    nitropy nk3 piv --experimental list-certificates
    
  4. Ověřte, zda je Nitrokey systémem rozpoznán a zda jsou nalezeny identity:

    sc_auth identities
    

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
    Unpaired identities:
    someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
    
  5. Nyní odpojte Nitrokey a znovu jej zapojte. Operační systém by měl rozpoznat Nitrokey jako čipovou kartu PIV a navrhnout spárování s aktuálně přihlášeným uživatelem.

  6. Potvrďte, že možná bude nutné zadat PIN PIV pro některé počáteční podpisy a možná bude také nutné zadat heslo, aby bylo možné importovat certifikát PIV do klíčenky systému MacOS.

  7. Ověřte, zda byla identita PIV úspěšně spárována s místním uživatelem systému MacOS:

    sc_auth list
    

    This should print something like this:

    Hash: someId
    
  8. Hotovo. Nyní byste se měli být schopni přihlásit k Macu pomocí klíče Nitrokey pomocí kódu PIV PIN.