macOS Catalina でのスマートカードの変更に備える
macOS Catalina 10.15 では、スマートカード対応が変更されます。組織での対策準備についてご案内します。
この記事は、スマートカード認証が必要なエンタープライズ環境において、セキュリティポリシーの設定を担当しているシステム管理者を読者として想定しています。
macOS には、スマートカードに対応した最新のアーキテクチャが組み込まれています。このアーキテクチャは、CryptoTokenKit フレームワークをベースとしていて、認証、暗号化、署名の機能や、エンタープライズ環境内のスマートカード管理を担う MDM 制御に対応しています。macOS Catalina 以降では、TokenD を使ったレガシーのスマートカード対応はデフォルトで無効になります。
macOS Catalina にアップグレードする前に
macOS Catalina にアップグレードした後で、レガシーの TokenD を最新の CryptoTokenKit ベースのスマートカードサービスに移行するには、以下の手順を実行してください。
1. 他社製の App を利用している場合は、その App が CryptoTokenKit に対応しているか確認しておきます。
2. 以下のターミナルコマンドを実行し、出力に「com.apple.CryptoTokenKit.pivtoken
」と表示されないことを確かめます。
defaults read /Library/Preferences/com.apple.security.smartcard DisabledTokens
表示される場合は、DisabledTokens 配列から PIV トークンを削除できます。配列全体を削除してください。
defaults delete /Library/Preferences/com.apple.security.smartcard DisabledTokens
3. TokenD がないと機能しないドライバをインストールしている場合は、開発元の指示に従い、アンインストールします。
macOS Catalina にアップグレードした後でスマートカードを使えないという問題が起きる場合は、カードをあらためてペアリングしてください。スマートカードサービスの構成に関する詳しい手順については、「macOS 導入リファレンス」および SmartCardServices(7)
のマニュアルページを参照してください。