MacOS Inloggen met lokale gebruiker¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.
Vereisten¶
The following setup was used at the time of writing this guide:
MacOS 15.6 (Sequoia)
nitropy 0.10.0
Nitrokey 3 with PIV smart card, firmware version 1.8.1
Configure smartcard logon for local use¶
Er wordt aangenomen dat de PIV-applet op de Nitrokey in de fabriek is gereset. Het overschrijven van sleutels en certificaten zou echter ook moeten werken.
Het is eenvoudiger om de commando’s nitropy nk3 piv
te gebruiken wanneer PIN, PUK en managementsleutel nog niet zijn gewijzigd, omdat dan de standaardwaarden gelden. We gaan er dus van uit dat u ze nog niet hebt gewijzigd. Als je ze al wel hebt gewijzigd, moet je ze waar nodig opgeven.
Generate a key and a certificate in PIV slot 9a:
nitropie nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-naam “CN=Foo Bar” –subject-alt-naam-upn “foo@bar.com”.
Generate a key and a certificate in PIV slot 9d:
nitropie nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-naam “CN=Foo Bar” –subject-alt-naam-upn “foo@bar.com”.
Controleer of de Nitrokey nu certificaten heeft in sleuf 9a en 9d:
nitropie nk3 piv –experimentele lijst-certificaten
Controleer of de Nitrokey door het systeem wordt herkend en of er identiteiten worden gevonden:
sc_auth identities
This should print something like this:
SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
Haal nu de Nitrokey uit het stopcontact en sluit deze weer aan. Het besturingssysteem zou de Nitrokey moeten herkennen als een PIV smartcard en voorstellen om deze te koppelen met de gebruiker die op dat moment is ingelogd.
Bevestig, het kan zijn dat u de PIV PIN moet invoeren voor de eerste ondertekening en het kan ook zijn dat u uw wachtwoord moet invoeren om het PIV certificaat te kunnen importeren in de MacOS sleutelhanger.
Controleer of de PIV-identiteit met succes is gekoppeld aan de lokale MacOS-gebruiker:
sc_auth list
This should print something like this:
Hash: someId
Klaar. Je zou nu moeten kunnen inloggen op je Mac met je Nitrokey door de PIV PIN te gebruiken.