MacOS Login con usuario local

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Requisitos previos

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Se supone que el applet PIV de la Nitrokey está restablecido de fábrica. Sin embargo, la sobreescritura de claves y certificados también debería funcionar.

Es más fácil usar los comandos nitropy nk3 piv cuando el PIN, PUK y la clave de administración no han sido cambiados en primer lugar, porque entonces se aplican los valores por defecto. Así que asumimos que aún no los ha cambiado. En caso de que ya lo haya hecho debe proporcionarlos donde sea necesario.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Compruebe que el Nitrokey tiene ahora certificados en las ranuras 9a y 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Compruebe que el sistema reconoce la Nitrokey y que se encuentran las identidades:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Ahora desconecte la Nitrokey y vuelva a conectarla. El sistema operativo debería reconocer la Nitrokey como una tarjeta inteligente PIV y sugerir emparejarla con el usuario que está conectado en ese momento.

  6. Confirme, puede que tenga que introducir el PIN PIV para algunas firmas iniciales y también puede que tenga que introducir su contraseña para permitir que el certificado PIV se importe en el llavero de MacOS.

  7. Compruebe que la identidad PIV se ha emparejado correctamente con el usuario local de MacOS:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Listo. Ahora debería poder iniciar sesión en su Mac con su Nitrokey utilizando el PIN PIV.