Rozšírené možnosti kariet Smart Card na Macu
Konfiguračné nastavenia kariet Smart Card
Na počítači Mac môžete zobraziť a upraviť špecifické konfiguračné nastavenia a záznamy kariet Smart Card pomocou príkazového riadka, a to pre tieto možnosti:
Zobrazenie zoznamu dostupných tokenov v systéme.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Povolenie, zakázanie alebo zobrazenie zoznamu zakázaných tokenov karty Smart Card.
sudo security smartcards token [-l] [-e token] [-d token]
Zrušenie párovania karty Smart Card.
sudo sc_auth unpair -u jappleeed
Zobrazenie dostupných kariet Smart Card.
sudo security list-smartcards
Export položiek z karty Smart Card.
sudo security export-smartcard
Zaznamenávanie kariet Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Zakázanie vstavaných PIV tokenov.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Okrem používania príkazového riadka je možné pomocou objemu dát Smart Card spravovať nasledujúce možnosti. Ďalšie informácie nájdete v téme Nastavenia objemu dát MDM Smart Card.
Potlačenie výzvy na spárovanie pri vložení tokenu.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Obmedzenie párovania užívateľského účtu na jednu kartu Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Zakázanie prihlásenia a autorizácie užívateľovi karty Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Poznámka: Aj pri vypnutej možnosti allowSmartCard môžete používať identity z certifikátov na karte Smart Card na vykonávanie iných operácií, ako je napríklad podpisovanie a šifrovanie, a v podporovaných apkách tretích strán.
Spravovanie správania dôveryhodnosti certifikátu karty Smart Card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Hodnota môže byť jedna z nasledujúcich hodnôt:
0: Dôveryhodnosť certifikátu karty Smart card sa nevyžaduje.
1: Certifikát a reťaz karty Smart card musia byť dôveryhodné.
2: Certifikát a reťaz musia byť dôveryhodné a nesmú prijať stav zrušenia.
3: Certifikát a reťaz musia byť dôveryhodné a stav zrušenia musí byť vrátený ako platný.
Pripínanie certifikátov
V prípade potreby môžete určiť, ktoré autority vystavujúce certifikáty sa majú používať na vyhodnocovanie dôveryhodnosti certifikátov na kartách smart card. Táto metóda dôveryhodnosti pracuje v kombinácii s nastavením dôveryhodnosti certifikátov (vyžaduje sa možnosť 1, 2 alebo 3) a označuje sa aj ako pripínanie certifikátov. Odtlačky SHA-256 certifikačných autorít vložte (ako hodnoty reťazca oddelené čiarkami a bez medzier) do poľa s názvom TrustedAuthorities
. Ako návod môžete použiť nižšie uvedenú ukážku súboru /private/etc/SmartcardLogin.plist. Ak sa používa pripínanie certifikátov, ako dôveryhodné budú z certifikátov na karte Smart Card vyhodnotené len tie, ktoré vystavili certifikačné autority uvedené v tomto zozname. Upozorňujeme, že pri nastavení parametra checkCertificateTrust
na hodnotu 0 (vypnuté) sa pole TrustedAuthorities
ignoruje. Po úprave súboru sa uistite, že jeho vlastníkom je koreňový užívateľ a má nastavené všeobecné práva na čítanie.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>