Avancerade alternativ för smarta kort för Mac
Konfigurationsinställningar för smarta kort
Du kan visa och redigera enskilda konfigurationsinställningar och loggar för smarta kort på en Mac-dator genom att använda kommandoraden för följande alternativ:
Lista tillgängliga token i systemet.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Aktivera, avaktivera eller lista avaktiverade token för smarta kort.
sudo security smartcards token [-l] [-e token] [-d token]
Ta bort parkopplingen för det smarta kortet.
sudo sc_auth unpair -u jappleeed
Visa tillgängliga smarta kort.
sudo security list-smartcards
Exportera objekt från ett smart kort.
sudo security export-smartcard
Logga smarta kort.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Avaktivera inbyggda PIV-token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Utöver att använda kommandoraden kan också följande alternativ hanteras med nyttolasten Smart Card. Mer information finns i MDM-inställningar för nyttolasten Smart Card.
Förhindra uppmaning om att parkoppla när token sätts in.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Begränsa parkoppling av användarkonto till ett enda smart kort.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Avaktivera användare av smart kort för inloggning och auktorisering.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Obs! När allowSmartCard avaktiveras kan certifikatidentiteter för smarta kort fortfarande användas för andra åtgärder som signering och kryptering och i appar från tredje part som stöds.
Hantera hur certifikatförtroendet hanteras för smarta kort.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Värdet kan vara något av följande:
0: Inget certifikatförtroende för smarta kort krävs.
1: Certifikatet och kedjan för smarta kort måste vara betrodda.
2: Certifikatet och kedjan måste vara betrodda och inte ta emot en återkallad status.
3: Certifikatet och kedjan måste vara betrodda och återkallningsstatusen returneras som giltig.
Certifikatkoppling
Det går att specificera vilka certifikatutfärdare som ska används för utvärdering av tillförlitlighet av smarta kortcertifikat. Den här tillförlitligheten, som fungerar i kombination med inställningar för certifikattillförlitlighet (1, 2 eller 3 krävs), brukar kallas för certifikatkoppling. Placera SHA-256-fingeravtryck av certifikatutfärdare (som strängvärden, kommaavgränsade och utan mellanslag) i arrayen TrustedAuthorities
. Använd exempelfilen /private/etc/SmartcardLogin.plist nedan som vägledning. När certifikatkoppling används blir endast SmartCard-certifikat som har utfärdats av certifikatutfärdare i den här listan utvärderade som betrodda. Lägg märke till att arrayen TrustedAuthorities
ignoreras när inställningen checkCertificateTrust
är inställd på 0 (av). Kontrollera att ägaren är ”root” och att behörigheterna är inställda som ”world read” efter redigering.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>