Avancerede indstillinger til Smart Card på Mac
Konfigurationsindstillinger til Smart Card
Du kan se og redigere konfigurationsindstillinger og logarkiver til Smart Card på en Mac-computer ved at bruge kommandolinjen til følgende muligheder:
Se de tilgængelige tokens i systemet.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Slå Smart Card-tokens til, eller vis en liste med tokens, der er slået fra.
sudo security smartcards token [-l] [-e token] [-d token]Ophæv pardannelse af Smart Card.
sudo sc_auth unpair -u jappleeedVis tilgængelige Smart Cards.
sudo security list-smartcardsEksporter emner fra et Smart Card.
sudo security export-smartcardLogning af Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueSlå indbyggede PIV-tokens fra.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Ud over brug af kommandolinjen kan følgende indstillinger også administreres vha. dataene i Smart Card. Der er flere oplysninger under Indstillinger til MDM-data i Smart Card.
Vis ikke instruktion om pardannelse ved indsættelse af token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseBegræns pardannelse med brugerkonto til et enkelt Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueSlå Smart Card-bruger fra for login og godkendelse.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseBemærk: Når allowSmartCard slås fra, kan Smart Card-certifikatsidentiteter stadig bruges til andre handlinger, f.eks. signering og kryptering, og i understøttede tredjepartsapps.
Administrer Smart Card-certifikatets godkendelsesfunktion.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Værdien kan være en af følgende:
0: Godkendt Smart Card-certifikat kræves ikke.
1: Smart Card-certifikat og -kæde skal være godkendt.
2: Certifikat og kæde skal være godkendt og må ikke få status som Tilbagekaldt.
3: Certifikat og kæde skal være godkendt, og tilbagekaldelsesstatus returneres som gyldig.
Certifikat-pinning
Det er muligt at angive, hvilke certifikatudstedende myndigheder der bruges til tillidsevaluering af Smart Card-certifikater. Denne tillid, som fungerer sammen med indstillinger til certifikatgodkendelse (1, 2 eller 3 kræves) kaldes certifikatfastgørelse. Placer SHA-256-fingeraftryk fra certifikatmyndigheder (som strengværdier, adskilt med komma og uden mellemrum) i en række, der kaldes TrustedAuthorities. Brug eksempelarkivet /private/etc/SmartcardLogin.plist nedenfor som vejledning. Når certifikat-pinning bruges, er det kun Smart Card-certifikater, som er udstedt af certifikatmyndigheder på denne liste, der vurderes som godkendt. Bemærk, at TrustedAuthorities-rækken ignoreres, når indstillingen checkCertificateTrust er sat til 0 (fra). Kontroller, at ejerskab er “root”, og at tilladelser er indstillet til “world read” efter redigering.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>