Προηγμένες επιλογές έξυπνης κάρτας στο Mac
Ρυθμίσεις διαμόρφωσης έξυπνης κάρτας
Μπορείτε να προβάλετε και να επεξεργαστείτε συγκεκριμένες ρυθμίσεις διαμόρφωσης και αρχεία καταγραφής έξυπνης κάρτας σε έναν υπολογιστή Mac χρησιμοποιώντας τη γραμμή εντολών για τις ακόλουθες επιλογές:
Λίστα διαθέσιμων διακριτικών στο σύστημα.
pluginkit -m -p com.apple.ctk-tokens
com.apple.CryptoTokenKit.setoken(1.0)
com.apple.CryptoTokenKit.pivtoken(1.0)
Ενεργοποίηση, απενεργοποίηση ή εμφάνιση των απενεργοποιημένων διακριτικών έξυπνης κάρτας.
sudo security smartcards token [-l] [-e token] [-d token]
Αποζευγοποίηση της έξυπνης κάρτας.
sudo sc_auth unpair -u jappleeed
Εμφάνιση διαθέσιμων έξυπνων καρτών.
sudo security list-smartcards
Εξαγωγή στοιχείων από έξυπνη κάρτα.
sudo security export-smartcard
Καταγραφή έξυπνης κάρτας.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool true
Απενεργοποίηση ενσωματωμένων διακριτικών PIV.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Εκτός από τη χρήση της γραμμής εντολών, μπορείτε επίσης να διαχειριστείτε τις ακόλουθες επιλογές χρησιμοποιώντας το φορτίο «Έξυπνη κάρτα». Για περισσότερες πληροφορίες, δείτε τις ρυθμίσεις φορτίου MDM «Έξυπνη κάρτα».
Απόκρυψη προτροπής για ζευγοποίηση σε εισαγωγή διακριτικού.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool false
Περιορισμός ζευγοποίησης λογαριασμού χρήστη σε μία έξυπνη κάρτα.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool true
Απενεργοποίηση χρήστη έξυπνης κάρτας για είσοδο και εξουσιοδότηση.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool false
Σημείωση: Μετά την απενεργοποίηση του allowSmartCard, οι ταυτότητες πιστοποιητικών έξυπνης κάρτας θα μπορούν να χρησιμοποιούνται για άλλες διεργασίες, όπως υπογραφή και κρυπτογράφηση, καθώς και σε υποστηριζόμενες εφαρμογές τρίτων.
Διαχείριση συμπεριφοράς αξιοπιστίας πιστοποιητικού έξυπνης κάρτας.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>
Η τιμή μπορεί να είναι μία από τις εξής:
0: Δεν απαιτείται αξιοπιστία πιστοποιητικού έξυπνης κάρτας.
1: Το πιστοποιητικό και η αλυσίδα της έξυπνης κάρτας πρέπει να είναι αξιόπιστα.
2: Το πιστοποιητικό και η αλυσίδα πρέπει να είναι αξιόπιστα και να μη λαμβάνουν κατάσταση ανάκλησης.
3: Το πιστοποιητικό και η αλυσίδα πρέπει να είναι αξιόπιστα και η κατάσταση ανάκλησης να επιστρέφεται ως έγκυρη.
Ανάρτηση πιστοποιητικών
Είναι δυνατός ο καθορισμός των Αρχών έκδοσης πιστοποιητικών που χρησιμοποιούνται για αξιολόγηση της αξιοπιστίας πιστοποιητικών έξυπνων καρτών. Αυτή η αξιοπιστία, η οποία λειτουργεί σε συνδυασμό με τις ρυθμίσεις Αξιοπιστίας πιστοποιητικών (απαιτείται επίπεδο 1, 2 ή 3), είναι γνωστή ως ανάρτηση πιστοποιητικών. Τοποθετήστε αποτυπώματα SHA-256 των Αρχών πιστοποίησης (π.χ. τιμές συμβολοσειράς, διαχωρισμένες με κόμμα και χωρίς κενά διαστήματα) σε συστοιχία που ονομάζεται TrustedAuthorities
. Χρησιμοποιήστε το παρακάτω παράδειγμα αρχείου /private/etc/SmartcardLogin.plist για καθοδήγηση. Όταν χρησιμοποιείται η ανάρτηση πιστοποιητικών, μόνο τα πιστοποιητικά SmartCard που έχουν εκδοθεί από Αρχές πιστοποίησης σε αυτήν τη λίστα αξιολογούνται ως αξιόπιστα. Σημειώστε ότι η συστοιχία TrustedAuthorities
αγνοείται όταν η ρύθμιση checkCertificateTrust
έχει οριστεί σε 0 (ανενεργό). Επαληθεύστε ότι η ιδιοκτησία είναι «ριζική» και ότι τα δικαιώματα έχουν οριστεί ως «παγκόσμια ανάγνωση» (ορατό σε όλους τους χρήστες) μετά την επεξεργασία.
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
</dict>
<key>TrustedAuthorities</key>
<array>
<string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string>
</array>
</dict>
</plist>