Opções avançadas de smart cards no Mac
Ajustes de configuração de smart card
É possível visualizar e editar ajustes de configuração de smart card específicos e registros em um computador Mac por meio da linha de comando para as opções a seguir:
Criar uma lista dos tokens disponíveis no sistema.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Ativar, desativar ou criar uma lista dos tokens de smart card desativados.
sudo security smartcards token [-l] [-e token] [-d token]Desemparelhar o smart card.
sudo sc_auth unpair -u jappleeedMostrar os smart cards disponíveis.
sudo security list-smartcardsExportar os itens de um smart card.
sudo security export-smartcardRegistros de smart cards.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueDesativar os tokens PIV integrados.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Além do uso da linha de comando, as opções a seguir também podem ser gerenciadas por meio do payload Smart Card. Para obter mais informações, consulte os Ajustes do payload MDM de Smart Card.
Suprimir a solicitação de emparelhamento ao inserir o token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseLimitar o emparelhamento da conta de usuário a um único smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueDesativar o usuário do smart card para início de sessão e autorização.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseNota: ao desativar allowSmartCard, as identidades de certificados de Smart Card ainda podem ser usadas para outras operações (como assinatura, criptografia e em apps compatíveis de terceiros).
Gerenciar o comportamento de confiança do certificado do smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>O valor pode ser um dos seguintes:
0: não requer confiabilidade do certificado do Smart card.
1: o certificado e o encadeamento do SmartCard devem ser confiáveis.
2: certificado e encadeamento devem ser confiáveis e não receber o estado de revogado.
3: certificado e encadeamento devem ser confiáveis e o estado de revogado retorna válido.
Apontamento de certificado
É possível especificar quais Autoridades Emissoras de Certificados são usadas para a avaliação de confiabilidade de certificados de smart card. Essa confiabilidade, que funciona em conjunto com os ajustes de Confiabilidade de Certificado (requer 1, 2 ou 3), é conhecida como apontamento de certificado. Coloque impressões digitais SHA-256 de Autoridades de Certificação (como valores de string, separados por vírgula e sem espaços) em um vetor chamado TrustedAuthorities. Use o exemplo de arquivo /private/etc/SmartcardLogin.plist abaixo como orientação. Com o apontamento de certificado, somente os certificados SmartCard emitidos pelas Autoridades Certificadoras nessa lista são avaliados como confiáveis. Observe que o vetor TrustedAuthorities é ignorado quando o ajuste checkCertificateTrust está definido como 0 (desativado). Verifique se a propriedade é “root” e se as permissões estão definidas como de leitura universal após a edição.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>