MacOS Logowanie przy użyciu użytkownika lokalnego¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.
Wymagania wstępne¶
The following setup was used at the time of writing this guide:
MacOS 15.6 (Sequoia)
nitropy 0.10.0
Nitrokey 3 with PIV smart card, firmware version 1.8.1
Configure smartcard logon for local use¶
Zakłada się, że aplet PIV na Nitrokey jest fabrycznie zresetowany. Jednak nadpisywanie kluczy i certyfikatów również powinno działać.
Łatwiej jest używać poleceń nitropy nk3 piv
, gdy PIN, PUK i klucz zarządzania nie zostały zmienione w pierwszej kolejności, ponieważ wtedy obowiązują wartości domyślne. Zakładamy więc, że jeszcze ich nie zmieniłeś. Jeśli już to zrobiłeś, musisz podać je w razie potrzeby.
Generate a key and a certificate in PIV slot 9a:
nitropia nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name „CN=Foo Bar” –subject-alt-name-upn „foo@bar.com”
Generate a key and a certificate in PIV slot 9d:
nitropia nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name „CN=Foo Bar” –subject-alt-name-upn „foo@bar.com”
Sprawdź, czy Nitrokey ma teraz certyfikaty w slotach 9a i 9d:
nitropia nk3 piv –experimental list-certificates
Sprawdź, czy Nitrokey jest rozpoznawany przez system i czy znaleziono tożsamość:
sc_auth identities
This should print something like this:
SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
Teraz odłącz Nitrokey i podłącz go ponownie. System operacyjny powinien rozpoznać Nitrokey jako kartę PIV i zasugerować sparowanie z aktualnie zalogowanym użytkownikiem.
Potwierdź, może być konieczne wprowadzenie kodu PIN PIV w celu wstępnego podpisania, a także może być konieczne wprowadzenie hasła, aby umożliwić zaimportowanie certyfikatu PIV do pęku kluczy systemu macOS.
Sprawdź, czy tożsamość PIV została pomyślnie sparowana z lokalnym użytkownikiem MacOS:
sc_auth list
This should print something like this:
Hash: someId
Gotowe. Teraz powinieneś być w stanie zalogować się do komputera Mac za pomocą Nitrokey, używając kodu PIN PIV.