MacOS Connexion avec l’utilisateur local

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Conditions préalables

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

On suppose que l’applet PIV de la Nitrokey est réinitialisé en usine. Cependant, l’écrasement des clés et des certificats devrait également fonctionner.

Il est plus facile d’utiliser les commandes nitropy nk3 piv lorsque le PIN, le PUK et la clé de gestion n’ont pas été modifiés en premier lieu, car les valeurs par défaut s’appliquent alors. Nous supposons donc que vous ne les avez pas encore modifiées. Si vous l’avez déjà fait, vous devez les indiquer si nécessaire.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Vérifiez que la Nitrokey possède désormais des certificats dans les emplacements 9a et 9d :

    nitropy nk3 piv --experimental list-certificates

  4. Vérifiez que la Nitrokey est reconnue par le système et que les identités sont trouvées :

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Débranchez la Nitrokey et rebranchez-la. Le système d’exploitation doit reconnaître la Nitrokey comme une carte à puce PIV et proposer de l’appairer avec l’utilisateur actuellement connecté.

  6. Confirmez, il se peut que vous deviez saisir le code PIN PIV pour certaines signatures initiales et que vous deviez également saisir votre mot de passe pour permettre l’importation du certificat PIV dans le trousseau de MacOS.

  7. Vérifiez que l’identité PIV est correctement appariée à l’utilisateur local de MacOS :

    sc_auth list

    This should print something like this:

    Hash: someId

  8. C’est fait. Vous devriez maintenant pouvoir vous connecter à votre Mac avec votre Nitrokey en utilisant le code PIN PIV.