Προηγμένες επιλογές έξυπνης κάρτας στο Mac
Ρυθμίσεις διαμόρφωσης έξυπνης κάρτας
Μπορείτε να προβάλετε και να επεξεργαστείτε συγκεκριμένες ρυθμίσεις διαμόρφωσης και αρχεία καταγραφής έξυπνης κάρτας σε έναν υπολογιστή Mac χρησιμοποιώντας τη γραμμή εντολών για τις ακόλουθες επιλογές:
Λίστα διαθέσιμων διακριτικών στο σύστημα.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Ενεργοποίηση, απενεργοποίηση ή εμφάνιση των απενεργοποιημένων διακριτικών έξυπνης κάρτας.
sudo security smartcards token [-l] [-e token] [-d token]Αποζευγοποίηση της έξυπνης κάρτας.
sudo sc_auth unpair -u jappleeedΕμφάνιση διαθέσιμων έξυπνων καρτών.
sudo security list-smartcardsΕξαγωγή στοιχείων από έξυπνη κάρτα.
sudo security export-smartcardΚαταγραφή έξυπνης κάρτας.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueΑπενεργοποίηση ενσωματωμένων διακριτικών PIV.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Εκτός από τη χρήση της γραμμής εντολών, μπορείτε επίσης να διαχειριστείτε τις ακόλουθες επιλογές χρησιμοποιώντας το φορτίο «Έξυπνη κάρτα». Για περισσότερες πληροφορίες, δείτε τις ρυθμίσεις φορτίου διαχείρισης συσκευών «Έξυπνη κάρτα».
Απόκρυψη προτροπής για ζευγοποίηση σε εισαγωγή διακριτικού.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseΠεριορισμός ζευγοποίησης λογαριασμού χρήστη σε μία έξυπνη κάρτα.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueΑπενεργοποίηση χρήστη έξυπνης κάρτας για είσοδο και εξουσιοδότηση.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseΣημείωση: Μετά την απενεργοποίηση του allowSmartCard, οι ταυτότητες πιστοποιητικών έξυπνης κάρτας θα μπορούν να χρησιμοποιούνται για άλλες διεργασίες, όπως υπογραφή και κρυπτογράφηση, καθώς και σε υποστηριζόμενες εφαρμογές τρίτων.
Διαχείριση συμπεριφοράς αξιοπιστίας πιστοποιητικού έξυπνης κάρτας.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Η τιμή μπορεί να είναι μία από τις εξής:
0: Δεν απαιτείται αξιοπιστία πιστοποιητικού έξυπνης κάρτας.
1: Το πιστοποιητικό και η αλυσίδα της έξυπνης κάρτας πρέπει να είναι αξιόπιστα.
2: Το πιστοποιητικό και η αλυσίδα πρέπει να είναι αξιόπιστα και να μη λαμβάνουν κατάσταση ανάκλησης.
3: Το πιστοποιητικό και η αλυσίδα πρέπει να είναι αξιόπιστα και η κατάσταση ανάκλησης να επιστρέφεται ως έγκυρη.
Ανάρτηση πιστοποιητικών
Είναι δυνατός ο καθορισμός των Αρχών έκδοσης πιστοποιητικών που χρησιμοποιούνται για αξιολόγηση της αξιοπιστίας πιστοποιητικών έξυπνων καρτών. Αυτή η αξιοπιστία, η οποία λειτουργεί σε συνδυασμό με τις ρυθμίσεις Αξιοπιστίας πιστοποιητικών (απαιτείται επίπεδο 1, 2 ή 3), είναι γνωστή ως ανάρτηση πιστοποιητικών. Τοποθετήστε αποτυπώματα SHA-256 των Αρχών πιστοποίησης (π.χ. τιμές συμβολοσειράς, διαχωρισμένες με κόμμα και χωρίς κενά διαστήματα) σε συστοιχία που ονομάζεται TrustedAuthorities. Χρησιμοποιήστε το παρακάτω παράδειγμα αρχείου /private/etc/SmartcardLogin.plist για καθοδήγηση. Όταν χρησιμοποιείται η ανάρτηση πιστοποιητικών, μόνο τα πιστοποιητικά SmartCard που έχουν εκδοθεί από Αρχές πιστοποίησης σε αυτήν τη λίστα αξιολογούνται ως αξιόπιστα. Σημειώστε ότι η συστοιχία TrustedAuthorities αγνοείται όταν η ρύθμιση checkCertificateTrust έχει οριστεί σε 0 (ανενεργό). Επαληθεύστε ότι η ιδιοκτησία είναι «ριζική» και ότι τα δικαιώματα έχουν οριστεί ως «παγκόσμια ανάγνωση» (ορατό σε όλους τους χρήστες) μετά την επεξεργασία.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>