Розширені параметри смарт-карток на Mac
Параметри конфігурації смарт-картки
Ви можете переглядати та змінювати параметри конфігурації та журнали смарт-карток на комп’ютерах Mac за допомогою командного рядка для наведених далі параметрів.
Вивести перелік доступних у системі токенів.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Увімкнути, вимкнути чи вивести перелік неактивних токенів смарт-карток.
sudo security smartcards token [-l] [-e token] [-d token]Розпарувати смарт-картку.
sudo sc_auth unpair -u jappleeedВідобразити доступні смарт-картки.
sudo security list-smartcardsЕкспортувати елементи зі смарт-картки.
sudo security export-smartcardВести журнал смарт-картки.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueВимкнути вбудовані токени PIV.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Крім використання командного рядка, наведеними далі параметрами можна керувати за допомогою набору даних Smart Card (Смарт-картка). Більше інформації наведено в параметрах набору даних Smart Card (Смарт-картка) рішення MDM.
Ігнорувати підказку про створення пари під час вставлення токена.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseОбмежити парування облікового запису однією смарт-карткою.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueЗаборонити вхід і авторизацію користувачам смарт-карток.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseПримітка. Якщо вимкнути allowSmartCard, посвідчення сертифікатів смарт-карток можна й далі використовувати для інших операцій, як-от підписування й шифрування в сторонніх програмах.
Керувати поведінкою довіри сертифікату смарт-картки.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Можливі такі значення:
0: довіра сертифіката смарт-картки не вимагається.
1: сертифікат смарт-картки й весь ланцюжок мають бути довіреними.
2: сертифікат і ланцюжок мають бути довіреними й не отримувати стану відкликаного.
3: сертифікат і ланцюжок мають бути довіреними, а запит про стан відкликання має отримати відповідь «дійсний».
Прикріплення сертифікатів
Можна вказати центри сертифікації, які використовуються для оцінювання довіри сертифікату смарт-карток. Статус довіри, яка пов’язується з параметрами довіри до сертифікатів (потрібно 1, 2 або 3), відомий як прикріплення сертифіката. Розмістіть відбитки SHA-256 центрів сертифікації (як значення рядка, розділені комою, але без пробілів) у масиві під назвою TrustedAuthorities. Використовуйте приклад файлу /private/etc/SmartcardLogin.plist як зразок. Коли використовується прикріплення сертифіката, лише сертифікати SmartCard, видані центрами сертифікації з цього списку, вважатимуться довіреними. Зверніть увагу, що масив TrustedAuthorities ігнорується, коли для параметра checkCertificateTrust вибрано значення 0 (вимкнено). Після редагування переконайтеся, що власником зазначено root, а дозволом вибрано «world read».
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>