MacOS Login med lokal bruger¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.
Forudsætninger¶
The following setup was used at the time of writing this guide:
MacOS 15.6 (Sequoia)
nitropy 0.10.0
Nitrokey 3 with PIV smart card, firmware version 1.8.1
Configure smartcard logon for local use¶
Det antages, at PIV-appletten på Nitrokey er nulstillet fra fabrikken. Overskrivning af nøgler og certifikater bør dog også fungere.
Det er nemmere at bruge nitropy nk3 piv
kommandoer, når PIN, PUK og management key ikke er ændret i første omgang, for så gælder standardværdierne. Så vi antager, at du ikke har ændret dem endnu. Hvis du allerede har gjort det, skal du angive dem, hvor det er nødvendigt.
Generate a key and a certificate in PIV slot 9a:
nitropy nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name »CN=Foo Bar« –subject-alt-name-upn »foo@bar.com«
Generate a key and a certificate in PIV slot 9d:
nitropy nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name »CN=Foo Bar« –subject-alt-name-upn »foo@bar.com«
Kontroller, at Nitrokey nu har certifikater i slot 9a og 9d:
nitropy nk3 piv –eksperimentel liste-certifikater
Kontrollér, at Nitrokey genkendes af systemet, og at der findes identiteter:
sc_auth identities
This should print something like this:
SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
Tag nu stikket ud af Nitrokey, og sæt det i igen. Operativsystemet bør genkende Nitrokey som et PIV-smartcard og foreslå at parre med den bruger, der er logget ind i øjeblikket.
Bekræft, at du muligvis skal indtaste PIV-pinkoden til nogle indledende signeringer, og at du muligvis også skal indtaste din adgangskode for at tillade, at PIV-certifikatet importeres til MacOS-nøgleringen.
Kontrollér, at PIV-identiteten er parret med den lokale MacOS-bruger:
sc_auth list
This should print something like this:
Hash: someId
Så er det gjort. Du bør nu kunne logge ind på din Mac med din Nitrokey ved hjælp af PIV-pinkoden.