Pilihan kad pintar lanjutan pada Mac
Seting konfigurasi kad pintar
Anda boleh melihat dan mengedit seting konfigurasi dan log kad pintar khusus pada komputer Mac dengan menggunakan baris perintah untuk pilihan berikut:
Senaraikan token yang tersedia dalam sistem.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Dayakan, nyahdayakan atau senaraikan token kad pintar dinyahdayakan.
sudo security smartcards token [-l] [-e token] [-d token]
Batalkan pasang kad pintar.
sudo sc_auth unpair -u jappleeed
Paparkan kad pintar tersedia.
sudo security list-smartcards
Eksport item daripada kad pintar.
sudo security export-smartcard
Pengelogan kad pintar.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Nyahdayakan token PIV terbina dalam.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Selain daripada menggunakan baris perintah, pilihan berikut juga boleh diurus menggunakan muat beban Kad Pintar. Untuk mendapatkan maklumat lanjut, lihat Seting muat beban MDM Kad Pintar.
Kekang gesaan untuk berpasangan pada pemasukan token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Hadkan berpasangan akaun pengguna kepada kad pintar tunggal.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Nyahdayakan pengguna kad pintar untuk log masuk dan kebenaran.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Nota: Apabila menyahdayakan allowSmartCard, identiti sijil kad pintar masih boleh digunakan untuk operasi lain seperti menandatangani dan penyulitan serta dalam app pihak ketiga yang disokong.
Urus kelakuan kepercayaan sijil kad pintar.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Nilai boleh menjadi salah satu daripada yang berikut:
0: Kepercayaan sijil kad Pintar tidak diperlukan.
1: Sijil dan rantai kad Pintar mesti dipercayai.
2: Sijil dan rantai mesti dipercayai dan tidak menerima status dibatalkan.
3: Sijil dan rantai mesti dipercayai dan tidak menerima status pembatalan yang dipulangkan sah.
Pengepinan Sijil
Ada kemungkinan untuk menentukan Autoriti Pengeluaran Sijil yang digunakan untuk penilaian kepercayaan sijil kad pintar. Kepercayaan ini, yang bekerja bersama dengan seting Kepercayaan Sijil (1, 2, atau 3 diperlukan), dikenali sebagai pengepinan sijil. Letakkan cap jari SHA-256 Autoriti Sijil (sebagai nilai rentetan, tanda koma dibataskan dan tanpa jarak) dalam tatasusunan bernama TrustedAuthorities
. Gunakan contoh fail /private/etc/SmartcardLogin.plist di bawah sebagai panduan. Apabila pengepinan sijil digunakan, hanya sijil SmartCard yang dikeluarkan oleh Autoriti Sijil dalam senarai dinilai sebagai dipercayai. Sila maklum bahawa tatasusunan TrustedAuthorities
diabaikan apabila seting checkCertificateTrust
disetkan ke 0 (nyahaktif). Sahkan yang pemilikan ialah “akar” dan kebenaran disetkan kepada “bacaan dunia” selepas pengeditan.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>