MacOS Iniciar sessão com o utilizador local

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Pré-requisitos

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Parte-se do princípio de que a miniaplicação PIV na Nitrokey é reposta de fábrica. No entanto, a substituição de chaves e certificados também deve funcionar.

É mais fácil utilizar os comandos nitropy nk3 piv quando o PIN, PUK e a chave de gestão não são alterados em primeiro lugar, porque então aplicam-se os valores predefinidos. Assim, assumimos que ainda não os alterou. No caso de já o ter feito, deve fornecê-los quando necessário.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Verificar se o Nitrokey tem agora certificados nas ranhuras 9a e 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Verificar se o Nitrokey é reconhecido pelo sistema e se as identidades são encontradas:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Agora, desligue a Nitrokey e ligue-a novamente. O sistema operativo deve reconhecer a Nitrokey como um smartcard PIV e sugerir o emparelhamento com o utilizador que está atualmente com sessão iniciada.

  6. Confirme, poderá ter de introduzir o PIN PIV para algumas assinaturas iniciais e poderá também ter de introduzir a sua palavra-passe para permitir que o certificado PIV seja importado para o keychain do MacOS.

  7. Verifique se a identidade PIV foi emparelhada com êxito com o utilizador local do MacOS:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Pronto. Agora deve ser possível iniciar sessão no Mac com a Nitrokey utilizando o PIN PIV.