MacOS Inloggen met lokale gebruiker

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Vereisten

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Er wordt aangenomen dat de PIV-applet op de Nitrokey in de fabriek is gereset. Het overschrijven van sleutels en certificaten zou echter ook moeten werken.

Het is eenvoudiger om de commando’s nitropy nk3 piv te gebruiken wanneer PIN, PUK en managementsleutel nog niet zijn gewijzigd, omdat dan de standaardwaarden gelden. We gaan er dus van uit dat u ze nog niet hebt gewijzigd. Als je ze al wel hebt gewijzigd, moet je ze waar nodig opgeven.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Controleer of de Nitrokey nu certificaten heeft in sleuf 9a en 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Controleer of de Nitrokey door het systeem wordt herkend en of er identiteiten worden gevonden:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Haal nu de Nitrokey uit het stopcontact en sluit deze weer aan. Het besturingssysteem zou de Nitrokey moeten herkennen als een PIV smartcard en voorstellen om deze te koppelen met de gebruiker die op dat moment is ingelogd.

  6. Bevestig, het kan zijn dat u de PIV PIN moet invoeren voor de eerste ondertekening en het kan ook zijn dat u uw wachtwoord moet invoeren om het PIV certificaat te kunnen importeren in de MacOS sleutelhanger.

  7. Controleer of de PIV-identiteit met succes is gekoppeld aan de lokale MacOS-gebruiker:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Klaar. Je zou nu moeten kunnen inloggen op je Mac met je Nitrokey door de PIV PIN te gebruiken.