Älykorttien lisävalinnat Macissa
Älykorttien määritysasetukset
Voit tarkastella ja muokata tiettyjä älykorttien määritysasetuksia ja lokeja Macissa käyttämällä komentoriviä seuraaville:
Järjestelmässä käytettävissä olevien tunnisteiden luettelointi.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Älykorttitunnisteiden ottaminen käyttöön tai poistaminen käytöstä tai käytöstä poistettujen tunnisteiden luettelointi.
sudo security smartcards token [-l] [-e token] [-d token]
Älykortin pariliitoksen poistaminen.
sudo sc_auth unpair -u jappleeed
Käytettävissä olevien älykorttien näyttäminen.
sudo security list-smartcards
Kohteiden vieminen älykortilta.
sudo security export-smartcard
Älykortin lokin kirjaaminen.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Integroitujen PIV-tunnisteiden poistaminen käytöstä.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Komentorivin lisäksi seuraavia valintoja voidaan hallita myös käyttämällä Älykortti-tietosisältöä. Jos haluat lisätietoja, katso Älykortin MDM-tietosisältöasetukset.
Parinmuodostuskehotteen estäminen tunnisteen liittämisen yhteydessä.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Käyttäjätilin pariksi liittämisen rajoittaminen yhteen älykorttiin.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Älykortin käyttäjän poistaminen käytöstä sisäänkirjautumis- ja valtuutuskäytössä.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Huomaa: Jos allowSmartCard otetaan pois käytöstä, älykorttien varmenneidentiteettejä voidaan edelleen käyttää muihin toimintoihin, kuten allekirjoittamiseen ja salaukseen, sekä muun valmistajan apeissa.
Älykorttivarmenteeseen luottamisen hallinta.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Arvo voi olla yksi seuraavista:
0: Älykorttivarmenteeseen luottamista ei vaadita.
1: Älykorttivarmenteen ja varmenneketjun on oltava luotettuja.
2: Varmenteen ja varmenneketjun on oltava luotettuja, ja niiden ei tule saada kumottu-tilaa.
3: Varmenteen ja varmenneketjun on oltava luotettuja, ja kumoamistilan tarkistuksesta on saatava kelpaava vastaus.
Varmenteiden tallentaminen
On mahdollista määrittää, mitä varmentajia käytetään älykorttivarmenteiden luottamuksen arviointiin. Tätä luottamusta, joka toimii yhdessä varmenteiden luottoasetusten kanssa (1, 2 tai 3 vaaditaan), kutsutaan varmenteiden tallentamiseksi. Sijoita varmentajien SHA-256-tunnisteet (merkkijonoarvoina, pilkuilla erotettuina ja ilman välilyöntejä) taulukkoon nimeltä TrustedAuthorities
. Käytä alla olevaa /private/etc/SmartcardLogin.plist-tiedoston esimerkkiä mallina. Kun varmenteiden tallentaminen on käytössä, tässä luettelossa olevien varmentajien myöntämät varmenteet arvioidaan luotetuiksi. Huomaa, että TrustedAuthorities
-taulukko ohitetaan, kun checkCertificateTrust
-asetuksen arvo on 0 (pois päältä). Varmista, että omistajuus on ”juuripohjainen”, ja oikeudet on asetettu ”kaikkien luettaviksi” muokkaamisen jälkeen.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>