MacOS Sisäänkirjautuminen paikallisella käyttäjällä

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Edellytykset

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Oletuksena on, että Nitrokey-laitteen PIV-sovellus on palautettu tehtaalla. Avainten ja varmenteiden ylikirjoittamisen pitäisi kuitenkin myös toimia.

On helpompaa käyttää nitropy nk3 piv -komentoja, kun PIN-, PUK- ja hallinta-avainta ei ole muutettu alun perin, koska silloin käytetään oletusarvoja. Oletamme siis, että et ole vielä muuttanut niitä. Jos olet jo muuttanut, sinun on annettava ne tarvittaessa.

  1. Generate a key and a certificate in PIV slot 9a:

    
    

    nitropia nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name ”CN=Foo Bar” –subject-alt-name-upn ”foo@bar.com

  2. Generate a key and a certificate in PIV slot 9d:

    
    

    nitropia nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name ”CN=Foo Bar” –subject-alt-name-upn ”foo@bar.com

  3. Tarkista, että Nitrokey-avaimessa on nyt varmenteet paikoissa 9a ja 9d:

    
    

    nitropia nk3 piv –experimental list-sertifikaatit

  4. Tarkista, että järjestelmä tunnistaa Nitrokey-avaimen ja että tunnukset löytyvät:

    
    

    sc_auth identities

This should print something like this:

SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId       <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
  1. Irrota nyt Nitrokey ja kytke se uudelleen. Käyttöjärjestelmän pitäisi tunnistaa Nitrokey PIV-älykortiksi ja ehdottaa pariliitoksen muodostamista kirjautuneen käyttäjän kanssa.

  2. Vahvista, saatat joutua syöttämään PIV PIN-koodin alustavaa allekirjoitusta varten ja saatat joutua syöttämään myös salasanasi, jotta PIV-varmenne voidaan tuoda MacOS-avaimenperään.

  3. Tarkista, että PIV-tunniste on onnistuneesti yhdistetty paikallisen MacOS-käyttäjän kanssa:

    
    

    sc_auth list

This should print something like this:

Hash: someId
  1. Selvä. Sinun pitäisi nyt pystyä kirjautumaan Mac-tietokoneeseesi Nitrokey-avaimella PIV PIN-koodin avulla.