MacOS Logowanie przy użyciu użytkownika lokalnego

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Wymagania wstępne

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Zakłada się, że aplet PIV na Nitrokey jest fabrycznie zresetowany. Jednak nadpisywanie kluczy i certyfikatów również powinno działać.

Łatwiej jest używać poleceń nitropy nk3 piv, gdy PIN, PUK i klucz zarządzania nie zostały zmienione w pierwszej kolejności, ponieważ wtedy obowiązują wartości domyślne. Zakładamy więc, że jeszcze ich nie zmieniłeś. Jeśli już to zrobiłeś, musisz podać je w razie potrzeby.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"
    
  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"
    
  3. Sprawdź, czy Nitrokey ma teraz certyfikaty w slotach 9a i 9d:

    nitropy nk3 piv --experimental list-certificates
    
  4. Sprawdź, czy Nitrokey jest rozpoznawany przez system i czy znaleziono tożsamość:

    sc_auth identities
    

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
    Unpaired identities:
    someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
    
  5. Teraz odłącz Nitrokey i podłącz go ponownie. System operacyjny powinien rozpoznać Nitrokey jako kartę PIV i zasugerować sparowanie z aktualnie zalogowanym użytkownikiem.

  6. Potwierdź, może być konieczne wprowadzenie kodu PIN PIV w celu wstępnego podpisania, a także może być konieczne wprowadzenie hasła, aby umożliwić zaimportowanie certyfikatu PIV do pęku kluczy systemu macOS.

  7. Sprawdź, czy tożsamość PIV została pomyślnie sparowana z lokalnym użytkownikiem MacOS:

    sc_auth list
    

    This should print something like this:

    Hash: someId
    
  8. Gotowe. Teraz powinieneś być w stanie zalogować się do komputera Mac za pomocą Nitrokey, używając kodu PIN PIV.