Az intelligens kártyák speciális beállításai Macen
Az intelligens kártyák konfigurációs beállításai
Az intelligens kártyák konfigurációs beállításait és naplóit Mac számítógépen a parancssor használatával, a következő lehetőségekkel tekintheti meg és szerkesztheti:
A rendszerben elérhető tokenek kilistázása.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Az intelligenskártya-tokenek engedélyezése, letiltása, illetve a letiltottak listázása.
sudo security smartcards token [-l] [-e token] [-d token]Az intelligens kártya párosításának megszüntetése.
sudo sc_auth unpair -u jappleeedAz elérhető intelligens kártyák megjelenítése.
sudo security list-smartcardsElemek exportálása intelligens kártyáról.
sudo security export-smartcardIntelligens kártyák naplózása.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueBeépített PIV-tokenek letiltása.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Ezenfelül a parancssor használatához a következő lehetőségek is kezelhetők az Intelligens kártya adatcsomaggal. További információkért, lásd: Az Intelligens kártya MDM-adatcsomag beállításai.
Párosításra való felkérés letiltása a token behelyezésekor.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseA felhasználói fiók párosításának korlátozása egyetlen intelligens kártyára.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueAz intelligens kártya felhasználójának letiltása a bejelentkezés és a feljogosítás esetén.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseMegjegyzés: Az allowSmartCard letiltásakor az intelligens kártya tanúsítványidentitásai továbbra is használhatók más műveletekhez, például aláíráshoz és titkosításhoz, illetve a támogatott külső appokban.
Az intelligens kártya tanúsítványához kapcsolódó megbízhatósági viselkedés kezelése.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Az érték a következők egyike lehet:
0: Az intelligens kártya tanúsítványának megbízhatóságára nincs szükség.
1: Az intelligens kártya tanúsítványa és a lánc csak megbízható lehet.
2: A tanúsítvány és a lánc csak megbízható lehet, és nem lehet visszavont állapotú.
3: A tanúsítvány és a lánc csak megbízható lehet, és a visszavonás állapot csak érvényes értéket adhat vissza.
Tanúsítvány-rögzítés
Igény szerint megadhatók azok a tanúsítványkiadó központok, amelyek kiértékelik az intelligens kártyák tanúsítványainak megbízhatóságát. Ez a megbízhatóság, amely együtt működik a Tanúsítvány megbízhatósága beállításokkal (1, 2 vagy 3 szükséges), tanúsítványrögzítés néven is ismert. Helyezze a tanúsítványkiadó központok SHA-256 ujjlenyomatát (karakterláncértékként, vesszővel tagolva vagy szóközök nélkül) egy TrustedAuthorities nevű tömbbe. Használja a /private/etc/SmartcardLogin.plist mintafájlt útmutatásként. A tanúsítványrögzítés használata esetén kizárólag a listán szereplő tanúsítványkiadó központok által kiadott SmartCard-tanúsítványok lesznek kiértékelve megbízhatóként. Vegye figyelembe, hogy a TrustedAuthorities tömb figyelmen kívül van hagyva, amikor a checkCertificateTrust 0-ra van állítva (ki van kapcsolva). Ellenőrizni kell, hogy a tulajdonjoghoz a „gyökér” érték van megadva, az engedélyek pedig „globális olvasható” értékre vannak állítva a szerkesztést követően.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>