MacOS Logowanie przy użyciu użytkownika lokalnego

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Wymagania wstępne

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Zakłada się, że aplet PIV na Nitrokey jest fabrycznie zresetowany. Jednak nadpisywanie kluczy i certyfikatów również powinno działać.

Łatwiej jest używać poleceń nitropy nk3 piv, gdy PIN, PUK i klucz zarządzania nie zostały zmienione w pierwszej kolejności, ponieważ wtedy obowiązują wartości domyślne. Zakładamy więc, że jeszcze ich nie zmieniłeś. Jeśli już to zrobiłeś, musisz podać je w razie potrzeby.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropia nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name „CN=Foo Bar” –subject-alt-name-upn „foo@bar.com

  2. Generate a key and a certificate in PIV slot 9d:

    nitropia nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name „CN=Foo Bar” –subject-alt-name-upn „foo@bar.com

  3. Sprawdź, czy Nitrokey ma teraz certyfikaty w slotach 9a i 9d:

    nitropia nk3 piv –experimental list-certificates

  4. Sprawdź, czy Nitrokey jest rozpoznawany przez system i czy znaleziono tożsamość:

    sc_auth identities

This should print something like this:

SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId       <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  1. Teraz odłącz Nitrokey i podłącz go ponownie. System operacyjny powinien rozpoznać Nitrokey jako kartę PIV i zasugerować sparowanie z aktualnie zalogowanym użytkownikiem.

  2. Potwierdź, może być konieczne wprowadzenie kodu PIN PIV w celu wstępnego podpisania, a także może być konieczne wprowadzenie hasła, aby umożliwić zaimportowanie certyfikatu PIV do pęku kluczy systemu macOS.

  3. Sprawdź, czy tożsamość PIV została pomyślnie sparowana z lokalnym użytkownikiem MacOS:

    sc_auth list

This should print something like this:

Hash: someId

  1. Gotowe. Teraz powinieneś być w stanie zalogować się do komputera Mac za pomocą Nitrokey, używając kodu PIN PIV.