macOS 中的文件保险箱和智能卡使用
使用文件保险箱在搭载 Apple 芯片且运行 macOS 11 或更高版本的 Mac 上登录允许使用 macOS 支持的认证方式,其中包括对使用 CCID 和兼容 PIV 的智能卡进行认证的内建支持。
使用智能卡全局登录可让成功的文件保险箱认证也自动登录到系统。文件保险箱的智能卡支持可使用 security
命令行工具进行管理。
为文件保险箱和智能卡登录使用密码认证
在搭载 Apple T2 安全芯片且运行 macOS 10.14 或更高版本的 Mac 上,解锁文件保险箱将启用登录。但是,这些电脑上的文件保险箱不包括智能卡支持。为便于智能卡登录,每台电脑上必须运行以下命令:
sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES
Mac 重新启动时,macOS 会支持文件保险箱使用密码解锁,然后在登录窗口中提示智能卡认证。此设置还可使用移动设备管理 (MDM) 解决方案中的被管理偏好设置进行管理。
使用 recoveryOS 移除与文件保险箱关联的智能卡
在 macOS 11 或更高版本中,recoveryOS 中提供了智能卡恢复选项(如果“强制使用智能卡”已打开)。在用户的智能卡丢失或损坏的情况下,用户可暂时使用本地管理者认证覆盖智能卡执行方案。若要执行此操作,用户必须将 Mac 启动进入 recoveryOS,进行认证,并运行以下命令:
security filevault skip-sc-enforcement <data volume UUID> <operation>
然后用户会收到输入管理员密码的提示。如果成功,智能卡执行方案会仅跳过一次登录。用户可随后取消配对,然后配对新智能卡以继续常规智能卡操作。