Prihlásenie do systému MacOS pomocou miestneho používateľa

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Poznámka

This also works with preboot FileVault authentication for macOS Silicon models.

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Predpoklady

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Predpokladá sa, že applet PIV na kľúči Nitrokey je resetovaný z výroby. Prepisovanie kľúčov a certifikátov by však malo fungovať tiež.

Je jednoduchšie používať príkazy nitropy nk3 piv, keď sa PIN, PUK a kľúč na správu nemenia, pretože potom platia predvolené hodnoty. Predpokladáme teda, že ste ich ešte nezmenili. V prípade, že ste ich už zmenili, musíte ich v prípade potreby zadať.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv --experimental generate-key --key 9a --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv --experimental generate-key --key 9d --algo nistp256 --subject-name "CN=Foo Bar" --subject-alt-name-upn "foo@bar.com"

  3. Skontrolujte, či má teraz Nitrokey certifikáty v slotoch 9a a 9d:

    nitropy nk3 piv --experimental list-certificates

  4. Overte, či systém rozpoznal Nitrokey a či sa našli identity:

    sc_auth identities

    This should print something like this:

    SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId    <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  5. Teraz odpojte Nitrokey a znova ho zapojte. Operačný systém by mal rozpoznať Nitrokey ako čipovú kartu PIV a navrhnúť spárovanie s používateľom, ktorý je práve prihlásený.

  6. Potvrďte, že možno budete musieť zadať PIN kód PIV na niektoré počiatočné podpisovanie a možno budete musieť zadať aj heslo, aby sa certifikát PIV mohol importovať do kľúčenky MacOS.

  7. Overte, či sa identita PIV úspešne spáruje s miestnym používateľom systému MacOS:

    sc_auth list

    This should print something like this:

    Hash: someId

  8. Hotovo. Teraz by ste mali byť schopní prihlásiť sa do svojho Macu pomocou Nitrokey pomocou kódu PIV PIN.