Opțiuni avansate pentru smart card pe Mac
Opțiunile Configurare smart card
Puteți vizualiza și edita configurările specifice smart cardurilor și jurnalele pe un computer Mac utilizând linia de comandă pentru următoarele opțiuni:
Listați tokenurile disponibile în sistem.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Activați, dezactivați sau listați tokenurile de smart card dezactivate.
sudo security smartcards token [-l] [-e token] [-d token]Disociați smart cardul.
sudo sc_auth unpair -u jappleeedAfișați smart cardurile disponibile.
sudo security list-smartcardsExportați articole dintr-un smart card.
sudo security export-smartcardJurnalizarea Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueDezactivați tokenurile PIV integrate.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Pe lângă utilizarea liniei de comandă, pot fi gestionate și următoarele opțiuni folosind sarcina Smart Card. Pentru informații suplimentare, consultați Configurările sarcinii MDM Smart Card.
Dezactivați solicitarea de asociere la introducerea tokenului.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseLimitați asocierea contului de utilizator cu un singur smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueDezactivați utilizatorul de smart card pentru login și autorizare.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseNotă: Când se dezactivează allowSmartCard, identitățile certificatelor smart card pot fi utilizate în continuare pentru operațiuni precum semnarea și criptarea și în aplicații terțe compatibile.
Gestionați comportamentul de încredere în certificatul smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Valoarea poate fi una dintre următoarele:
0: Nu este necesară încrederea în certificatul Smart cardului.
1: Lanțul și certificatul Smart cardului trebuie să fie de încredere.
2: Certificatul și lanțul trebuie să fie de încredere și să nu primească starea de revocare.
3: Certificatul și lanțul trebuie să fie de încredere și starea de revocare să fie returnată validă.
Fixarea prin certificare
Este posibil să se precizeze ce autorități de emitere a certificatului sunt utilizate pentru evaluarea încrederii certificatelor smart card. Această încredere, care funcționează alături de configurările Încrederea în certificat (sunt necesare 1, 2 sau 3), mai este denumită și fixare prin certificare. Plasați amprentele SHA-256 ale autorităților de certificare (ca valori șir, delimitate prin virgulă și fără spații) într-o matrice denumită TrustedAuthorities. Utilizați drept model fișierul exemplu de mai jos /private/etc/SmartcardLogin.plist. Când se utilizează fixarea prin certificare, doar certificatele SmartCard emise de autoritățile de certificare din această listă sunt evaluate ca fiind de încredere. Rețineți faptul că matricea TrustedAuthorities este ignorată când configurarea checkCertificateTrust este 0 (dezactivat). Verificați dacă proprietatea este “rădăcină” și permisiunile sunt configurate la “citire internațională” după editare.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>