MacOS Вход в систему с локальным пользователем

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Пререквизиты

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Предполагается, что апплет PIV на Nitrokey сброшен на заводе. Однако перезапись ключей и сертификатов также должна работать.

Удобнее использовать команды nitropy nk3 piv, когда PIN, PUK и ключ управления не изменены, потому что тогда применяются значения по умолчанию. Поэтому мы предполагаем, что вы еще не изменили их. В случае, если вы уже изменили их, вы должны указать их там, где это необходимо.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Убедитесь, что в слотах 9a и 9d Nitrokey теперь есть сертификаты:

    nitropy nk3 piv --experimental list-certificates

  4. Убедитесь, что Nitrokey распознан системой и что идентификаторы найдены:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Теперь отключите Nitrokey и снова подключите его. Операционная система должна распознать Nitrokey как смарт-карту PIV и предложить выполнить сопряжение с пользователем, который в данный момент вошел в систему.

  6. Подтвердите, вам может потребоваться ввести PIV PIN-код для первоначальной подписи, а также ввести пароль для импорта сертификата PIV в связку ключей macOS.

  7. Убедитесь, что идентификатор PIV успешно сопряжен с локальным пользователем MacOS:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Готово. Теперь вы сможете войти в систему Mac с помощью Nitrokey, используя PIV PIN.