Pokročilé volby pro čipové karty na Macu
Nastavení konfigurace čipových karet
Konfigurační parametry a protokoly konkrétní čipové karty můžete na Macu zobrazit a upravit pomocí nástroje příkazového řádku s následujícími možnostmi:
Vypsání seznamu tokenů dostupných v systému.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Aktivace, deaktivace nebo vypsání seznamu deaktivovaných tokenů čipové karty.
sudo security smartcards token [-l] [-e token] [-d token]Zrušení spárování čipové karty.
sudo sc_auth unpair -u jappleeedZobrazení dostupných čipových karet.
sudo security list-smartcardsExport položek z čipové karty.
sudo security export-smartcardProtokolování pro čipové karty.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueVypnutí integrovaných tokenů PIV.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Kromě použití příkazového řádku lze prostřednictvím datové části Smart Card spravovat také následující možnosti. Další informace viz Položky nastavení MDM v datové části Smart Card.
Potlačení výzvy ke spárování při vložení tokenu.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseOmezení párování uživatelských účtů na jedinou čipovou kartu.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueZákaz přihlašování a ověřování totožnosti pro uživatele čipové karty.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falsePoznámka: I při vypnuté volbě allowSmartCard můžete používat identity z certifikátů na čipové kartě k jiným operacím, jako je podepisování a šifrování, a v podporovaných aplikacích od nezávislých vývojářů.
Správa chování důvěryhodnosti certifikátů na čipových kartách.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Hodnoty mohou být následující:
0: Důvěryhodnost certifikátu čipové karty není vyžadována.
1: Řetězec i certifikát čipové karty musejí být důvěryhodné.
2: Řetězec i certifikát čipové karty musejí být důvěryhodné a nesmějí obdržet stav odvolání.
3: Řetězec i certifikát čipové karty musejí být důvěryhodné a stav odvolání musí být vrácen jako platný.
Připínání certifikátů
V případě potřeby můžete určit, které autority vystavující certifikáty mají být použity k vyhodnocování důvěryhodnosti certifikátů na čipových kartách. Tato metoda pracuje v kombinaci s nastavením důvěryhodnosti certifikátů (je vyžadována volba 1, 2 nebo 3) a označuje se také jako připínání certifikátů. Otisky SHA‑256 certifikačních autorit vložte (jako řetězcové hodnoty, oddělené čárkami a bez mezer) do pole s názvem TrustedAuthorities. Jako vodítko můžete použít níže uvedenou ukázku souboru /private/etc/SmartcardLogin.plist. Pokud je použito připínání certifikátů, budou z certifikátů na čipové kartě vyhodnoceny jako důvěryhodné jen ty, které vystavily certifikační autority uvedené v tomto seznamu. Povšimněte si, že při nastavení parametru checkCertificateTrust na hodnotu 0 (vypnuto) je pole TrustedAuthorities ignorováno. Po úpravě souboru se ujistěte, že jeho vlastníkem je uživatel „root“ a že je u něj nastaveno všeobecné oprávnění ke čtení („world read“).
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>