MacOS Login med lokal bruger

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Forudsætninger

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Det antages, at PIV-appletten på Nitrokey er nulstillet fra fabrikken. Overskrivning af nøgler og certifikater bør dog også fungere.

Det er nemmere at bruge nitropy nk3 piv kommandoer, når PIN, PUK og management key ikke er ændret i første omgang, for så gælder standardværdierne. Så vi antager, at du ikke har ændret dem endnu. Hvis du allerede har gjort det, skal du angive dem, hvor det er nødvendigt.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Kontroller, at Nitrokey nu har certifikater i slot 9a og 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Kontrollér, at Nitrokey genkendes af systemet, og at der findes identiteter:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Tag nu stikket ud af Nitrokey, og sæt det i igen. Operativsystemet bør genkende Nitrokey som et PIV-smartcard og foreslå at parre med den bruger, der er logget ind i øjeblikket.

  6. Bekræft, at du muligvis skal indtaste PIV-pinkoden til nogle indledende signeringer, og at du muligvis også skal indtaste din adgangskode for at tillade, at PIV-certifikatet importeres til MacOS-nøgleringen.

  7. Kontrollér, at PIV-identiteten er parret med den lokale MacOS-bruger:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Så er det gjort. Du bør nu kunne logge ind på din Mac med din Nitrokey ved hjælp af PIV-pinkoden.