Mac의 고급 스마트 카드 옵션
스마트 카드 구성 설정
Mac 컴퓨터에서 다음 옵션을 위한 같은 명령어 라인을 사용하여 특정 스마트 카드 구성 설정 및 로그를 보거나 편집할 수 있습니다.
시스템에서 사용할 수 있는 토큰을 나열하기.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)비활성화된 스마트 카드 토큰 활성화, 비활성화 또는 나열하기.
sudo security smartcards token [-l] [-e token] [-d token]스마트 카드를 페어링 해제하기.
sudo sc_auth unpair -u jappleeed사용 가능한 스마트 카드를 표시하기.
sudo security list-smartcards스마트 카드에서 항목을 내보내기.
sudo security export-smartcard스마트 카드 로그 작성하기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true내장 PIV 토큰 비활성화하기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
스마트 카드 페이로드를 사용하면 명령어 라인을 사용할 뿐 아니라 다음 옵션을 관리할 수 있습니다. 자세한 정보는 스마트 카드 MDM 페이로드 설정을 참조하십시오.
토큰 삽입 시에 페어링 메시지 숨기기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false사용자 계정 페어링을 단일 스마트 카드로 제한하기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true사용자가 스마트 카드를 로그인 및 인증에 사용하지 못하도록 비활성화하기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false참고: allowSmartCard를 비활성화하더라도 스마트 카드 인증서 ID를 서명 및 암호화와 같은 작업과 지원되는 타사 앱에서 여전히 사용할 수 있습니다.
스마트 카드 인증서 신뢰 동작 관리하기.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>다음 중 하나의 값을 지정합니다.
0: 스마트 카드 인증서 신뢰가 필요하지 않습니다.
1: 스마트 카드 인증서 및 체인은 신뢰되어야 합니다.
2: 인증서 및 체인은 신뢰되어야 하며 취소 상태가 아니어야 합니다.
3: 인증서 및 체인은 신뢰되어야 하며 해지 상태가 유효해야 합니다.
인증서 고정
스마트 카드 인증서 신뢰 평가에 사용할 인증서 발급 기관을 지정하는 것이 가능합니다. 인증서 신뢰 설정(1, 2 또는 3이어야 함)에 따라 이루어지는 신뢰 평가 절차는 인증서 고정이라고도 알려져 있습니다. TrustedAuthorities라는 이름의 배열에 인증 기관의 SHA-256 지문(쉼표로 구분되고 공백이 없는 문자열 값)을 입력합니다. 아래 /private/etc/SmartcardLogin.plist 파일의 예를 지침으로 사용하십시오. 인증서 고정이 사용된 경우 이 목록에 있는 인증 기관에서 발급한 스마트 카드 인증서만이 신뢰할 수 있는 것으로 평가됩니다. checkCertificateTrust를 0(끔)으로 설정한 경우 TrustedAuthorities 배열은 무시된다는 점을 참고하십시오. 편집 후에 소유권이 ‘루트’로 되어 있고 권한이 ‘누구나 읽기 가능’으로 설정되어 있는지 확인하십시오.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>