MacOS Logga in med lokal användare

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

This document explains how to use the PIV smart card of a Nitrokey 3 for local user logon on MacOS. It is available as of firmware version 1.8 and higher.

Förutsättningar

The following setup was used at the time of writing this guide:

  • MacOS 15.6 (Sequoia)

  • nitropy 0.10.0

  • Nitrokey 3 with PIV smart card, firmware version 1.8.1

Configure smartcard logon for local use

Det förutsätts att PIV-appleten på Nitrokey är fabriksåterställd. Att skriva över nycklar och certifikat bör dock också fungera.

Det är lättare att använda kommandona nitropy nk3 piv när PIN, PUK och management key inte har ändrats från början, eftersom standardvärdena då gäller. Vi antar därför att du inte har ändrat dem ännu. Om du redan har gjort det måste du ange dem där det behövs.

  1. Generate a key and a certificate in PIV slot 9a:

    nitropy nk3 piv –experimental generate-key –key 9a –algo nistp256 –subject-name ”CN=Foo Bar” –subject-alt-name-upn ”foo@bar.com

  2. Generate a key and a certificate in PIV slot 9d:

    nitropy nk3 piv –experimental generate-key –key 9d –algo nistp256 –subject-name ”CN=Foo Bar” –subject-alt-name-upn ”foo@bar.com

  3. Kontrollera att Nitrokey nu har certifikat i kortplatserna 9a och 9d:

    nitropy nk3 piv –experimentell lista-certifikat

  4. Kontrollera att Nitrokey känns igen av systemet och att identiteter hittas:

    sc_auth identities

This should print something like this:

SmartCard: com.apple.pivtoken:<nitrokey serial number>
Unpaired identities:
someId       <username> - Zertifikat zur PIV-Authentifizierung (<CN>)

  1. Koppla nu ur Nitrokey och koppla in den igen. Operativsystemet bör känna igen Nitrokey som ett PIV-smartkort och föreslå att den kopplas ihop med den användare som för närvarande är inloggad.

  2. Bekräfta, du kan behöva ange PIV PIN-koden för en första signering och du kan också behöva ange ditt lösenord för att PIV-certifikatet ska kunna importeras till MacOS nyckelring.

  3. Kontrollera att PIV-identiteten har kopplats ihop med den lokala MacOS-användaren:

    sc_auth list

This should print something like this:

Hash: someId

  1. Nu är det klart. Du bör nu kunna logga in på din Mac med din Nitrokey genom att använda PIV PIN-koden.