MacOS Вход в систему с локальным пользователем¶
Compatible Nitrokeys |
|||||||
---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.
Пререквизиты¶
The following setup was used at the time of writing this guide:
MacOS 15.6 (Sequoia)
nitropy 0.10.0
Nitrokey 3 with PIV smart card, firmware version 1.8.1
Configure smartcard logon for local use¶
Предполагается, что апплет PIV на Nitrokey сброшен на заводе. Однако перезапись ключей и сертификатов также должна работать.
Удобнее использовать команды nitropy nk3 piv
, когда PIN, PUK и ключ управления не изменены, потому что тогда применяются значения по умолчанию. Поэтому мы предполагаем, что вы еще не изменили их. В случае, если вы уже изменили их, вы должны указать их там, где это необходимо.
Generate a key and a certificate in PIV slot 9a:
нитропия nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name «CN=Foo Bar» –subject-alt-name-upn «foo@bar.com»
Generate a key and a certificate in PIV slot 9d:
нитропия nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name «CN=Foo Bar» –subject-alt-name-upn «foo@bar.com»
Убедитесь, что в слотах 9a и 9d Nitrokey теперь есть сертификаты:
нитропия nk3 piv –experimental list-certificates
Убедитесь, что Nitrokey распознан системой и что идентификаторы найдены:
sc_auth identities
This should print something like this:
SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
Теперь отключите Nitrokey и снова подключите его. Операционная система должна распознать Nitrokey как смарт-карту PIV и предложить выполнить сопряжение с пользователем, который в данный момент вошел в систему.
Подтвердите, вам может потребоваться ввести PIV PIN-код для первоначальной подписи, а также ввести пароль для импорта сертификата PIV в связку ключей macOS.
Убедитесь, что идентификатор PIV успешно сопряжен с локальным пользователем MacOS:
sc_auth list
This should print something like this:
Hash: someId
Готово. Теперь вы сможете войти в систему Mac с помощью Nitrokey, используя PIV PIN.