Prihlásenie do systému MacOS pomocou miestneho používateľa

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Predpoklady

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Predpokladá sa, že applet PIV na kľúči Nitrokey je resetovaný z výroby. Prepisovanie kľúčov a certifikátov by však malo fungovať tiež.

Je jednoduchšie používať príkazy nitropy nk3 piv, keď sa PIN, PUK a kľúč na správu nemenia, pretože potom platia predvolené hodnoty. Predpokladáme teda, že ste ich ešte nezmenili. V prípade, že ste ich už zmenili, musíte ich v prípade potreby zadať.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Skontrolujte, či má teraz Nitrokey certifikáty v slotoch 9a a 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Overte, či systém rozpoznal Nitrokey a či sa našli identity:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Teraz odpojte Nitrokey a znova ho zapojte. Operačný systém by mal rozpoznať Nitrokey ako čipovú kartu PIV a navrhnúť spárovanie s používateľom, ktorý je práve prihlásený.

  6. Potvrďte, že možno budete musieť zadať PIN kód PIV na niektoré počiatočné podpisovanie a možno budete musieť zadať aj heslo, aby sa certifikát PIV mohol importovať do kľúčenky MacOS.

  7. Overte, či sa identita PIV úspešne spáruje s miestnym používateľom systému MacOS:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Hotovo. Teraz by ste mali byť schopní prihlásiť sa do svojho Macu pomocou Nitrokey pomocou kódu PIV PIN.