Avanserte valg for smartkort på Mac
Konfigurasjonsinnstillinger for smartkort
Du kan vise og redigere spesifikke innstillinger for smartkortkonfigurasjon og logger på en Mac ved å bruke kommandolinjen for følgende valg:
Vis en liste over kjennetegn som er tilgjengelige i systemet.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Aktiver, deaktiver eller vis en liste over deaktiverte smartkortkjennetegn.
sudo security smartcards token [-l] [-e token] [-d token]Fjern sammenkobling til smartkortet.
sudo sc_auth unpair -u jappleeedVis tilgjengelige smartkort.
sudo security list-smartcardsEksporter objekter fra et smartkort.
sudo security export-smartcardSmartkortlogging.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueDeaktiver innebygde PIV-kjennetegn.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
I tillegg til å bruke kommandolinjen, kan følgende valg også administreres med Smart Card-nyttelasten. Hvis du vil ha mer informasjon, kan du se Innstillinger for enhetsadministrering for Smart Card-nyttelasten.
Fortreng melding om sammenkobling ved innsetting av kjennetegn.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseBegrens brukerkontosammenkobling til ett smartkort.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueDeaktiver smartkortbruker for pålogging og autorisering.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseMerk: Når allowSmartCard deaktiveres, kan sertifikatidentiteter for smartkort fortsatt brukes til andre handlinger, for eksempel signering og kryptering og i tredjepartsapper som støttes.
Administrer godkjenningsadferd for smartkortsertifikat.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Verdien kan være én av følgende:
0: Smartkortsertifikatgodkjenning kreves ikke.
1: Smartkortsertifikat og -kjede må godkjennes.
2: Sertifikat og kjede må godkjennes og ikke motta en tilbakekalt-status.
3: Sertifikat og kjede må være godkjent, og tilbakekallingsstatus må returneres som gyldig.
Sertifikatlåsing
Det er mulig å spesifisere hvilken sertifikatautoritet som skal brukes for godkjenningsevalueringen av smartkortsertifikater. Denne godkjenningen fungerer sammen med innstillinger for sertifikatgodkjenning (krever 1, 2 eller 3) og kalles også sertifikatlåsing. Plasser SHA-256-fingeravtrykk fra sertifiseringsmyndigheter (som strengverdier, kommadelt og uten mellomrom) i en liste med navnet TrustedAuthorities. Bruk eksemplet /private/etc/SmartcardLogin.plist file under som veiledning. Når sertifikatlåsing brukes, er det bare smartkortsertifikater utstedt av sertifiseringsmyndigheter i denne listen som evalueres som godkjente. Vær oppmerksom på at TrustedAuthorities-oppsettet ignoreres når checkCertificateTrust-innstillingen er satt til 0 (av). Kontroller at eierskap er rot, og at tillatelser er satt til «globalt lesbare» etter redigering.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>