MacOS Вход в систему с локальным пользователем

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Пререквизиты

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Предполагается, что апплет PIV на Nitrokey сброшен на заводе. Однако перезапись ключей и сертификатов также должна работать.

Удобнее использовать команды nitropy nk3 piv, когда PIN, PUK и ключ управления не изменены, потому что тогда применяются значения по умолчанию. Поэтому мы предполагаем, что вы еще не изменили их. В случае, если вы уже изменили их, вы должны указать их там, где это необходимо.

  1. Generate a key and a certificate in PIV slot 9a:

    
    

    нитропия nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name «CN=Foo Bar» –subject-alt-name-upn «foo@bar.com»

  2. Generate a key and a certificate in PIV slot 9d:

    
    

    нитропия nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name «CN=Foo Bar» –subject-alt-name-upn «foo@bar.com»

  3. Убедитесь, что в слотах 9a и 9d Nitrokey теперь есть сертификаты:

    
    

    нитропия nk3 piv –experimental list-certificates

  4. Убедитесь, что Nitrokey распознан системой и что идентификаторы найдены:

    
    

    sc_auth identities

This should print something like this:

SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId       <username> - Zertifikat zur PIV-Authentifizierung (<CN>)
  1. Теперь отключите Nitrokey и снова подключите его. Операционная система должна распознать Nitrokey как смарт-карту PIV и предложить выполнить сопряжение с пользователем, который в данный момент вошел в систему.

  2. Подтвердите, вам может потребоваться ввести PIV PIN-код для первоначальной подписи, а также ввести пароль для импорта сертификата PIV в связку ключей macOS.

  3. Убедитесь, что идентификатор PIV успешно сопряжен с локальным пользователем MacOS:

    
    

    sc_auth list

This should print something like this:

Hash: someId
  1. Готово. Теперь вы сможете войти в систему Mac с помощью Nitrokey, используя PIV PIN.