Avanserte valg for smartkort på Mac
Konfigurasjonsinnstillinger for smartkort
Du kan vise og redigere spesifikke innstillinger for smartkortkonfigurasjon og logger på en Mac ved å bruke kommandolinjen for følgende valg:
Vis en liste over kjennetegn som er tilgjengelige i systemet.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Aktiver, deaktiver eller vis en liste over deaktiverte smartkortkjennetegn.
sudo security smartcards token [-l] [-e token] [-d token]
Fjern sammenkobling til smartkortet.
sudo sc_auth unpair -u jappleeed
Vis tilgjengelige smartkort.
sudo security list-smartcards
Eksporter objekter fra et smartkort.
sudo security export-smartcard
Smartkortlogging.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Deaktiver innebygde PIV-kjennetegn.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
I tillegg til å bruke kommandolinjen, kan følgende valg også administreres med Smart Card-nyttelasten. Hvis du vil ha mer informasjon, kan du se MDM-innstillinger for Smart Card-nyttelasten.
Fortreng melding om sammenkobling ved innsetting av kjennetegn.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Begrens brukerkontosammenkobling til ett smartkort.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Deaktiver smartkortbruker for pålogging og autorisering.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Merk: Når allowSmartCard deaktiveres, kan sertifikatidentiteter for smartkort fortsatt brukes til andre handlinger, for eksempel signering og kryptering og i tredjepartsapper som støttes.
Administrer godkjenningsadferd for smartkortsertifikat.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Verdien kan være én av følgende:
0: Smartkortsertifikatgodkjenning kreves ikke.
1: Smartkortsertifikat og -kjede må godkjennes.
2: Sertifikat og kjede må godkjennes og ikke motta en tilbakekalt-status.
3: Sertifikat og kjede må være godkjent og tilbakekallingsstatus returneres som gyldig.
Sertifikatlåsing
Det er mulig å spesifisere hvilken sertifikatautoritet som skal brukes for godkjenningsevalueringen av smartkortsertifikater. Denne godkjenningen fungerer sammen med innstillinger for sertifikatgodkjenning (krever 1, 2 eller 3) og kalles også sertifikatlåsing. Plasser SHA-256-fingeravtrykk fra sertifiseringsmyndigheter (som strengverdier, kommadelt og uten mellomrom) i en liste med navnet TrustedAuthorities
. Bruk eksemplet /private/etc/SmartcardLogin.plist file under som veiledning. Når sertifikatlåsing brukes, er det bare smartkortsertifikater utstedt av sertifiseringsmyndigheter i denne listen som evalueres som godkjente. Vær oppmerksom på at TrustedAuthorities
-oppsettet ignoreres når checkCertificateTrust
-innstillingen er satt til 0 (av). Kontroller at eierskap er rot, og at tillatelser er satt til «globalt lesbare» etter redigering.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>