MacOS Anmeldung mit lokalem Benutzer

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Voraussetzungen

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Es wird davon ausgegangen, dass das PIV-Applet auf dem Nitrokey werkseitig zurückgesetzt ist. Das Überschreiben von Schlüsseln und Zertifikaten sollte jedoch ebenfalls funktionieren.

Es ist einfacher, die Befehle nitropy nk3 piv zu verwenden, wenn PIN, PUK und Verwaltungsschlüssel nicht von vornherein geändert werden, da dann die Standardwerte gelten. Wir gehen also davon aus, dass Sie sie noch nicht geändert haben. Falls Sie sie bereits geändert haben, müssen Sie sie bei Bedarf angeben.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Überprüfen Sie, ob der Nitrokey jetzt Zertifikate in den Steckplätzen 9a und 9d hat:

    nitropy nk3 piv --experimental list-certificates

  4. Überprüfen Sie, ob der Nitrokey vom System erkannt wird und ob Identitäten gefunden werden:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Ziehen Sie nun den Nitrokey ab und stecken Sie ihn wieder ein. Das Betriebssystem sollte den Nitrokey als PIV-Smartcard erkennen und vorschlagen, ihn mit dem aktuell angemeldeten Benutzer zu koppeln.

  6. Bestätigen Sie, dass Sie möglicherweise die PIV-PIN für die Erstsignierung eingeben müssen und dass Sie möglicherweise auch Ihr Passwort eingeben müssen, damit das PIV-Zertifikat in den MacOS-Schlüsselbund importiert werden kann.

  7. Überprüfen Sie, ob die PIV-Identität erfolgreich mit dem lokalen MacOS-Benutzer gekoppelt wurde:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Erledigt. Sie sollten nun in der Lage sein, sich mit Ihrem Nitrokey unter Verwendung der PIV-PIN bei Ihrem Mac anzumelden.