Opções avançadas de smart card no Mac
Definições de configuração de smart card
Pode visualizar e editar definições de configuração e registos de smart card num computador Mac com a linha de comandos através das seguintes opções:
Lista os tokens disponíveis no sistema.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Ativar, desativar ou listar os tokens de smart card desativados.
sudo security smartcards token [-l] [-e token] [-d token]Desemparelhar o smart card.
sudo sc_auth unpair -u jappleeedMostrar os smart cards disponíveis.
sudo security list-smartcardsExportar elementos de um smart card.
sudo security export-smartcardInício de sessão do smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueDesativar os tokens PIV integrados.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Além de usar a linha comando, as seguintes opções também podem ser geridas através da carga útil do smart card. Encontrará informação adicional nas Definições de carga útil de gestão de dispositivos de smart card.
Ocultar o aviso para emparelhar durante a inserção do token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseLimitar o emparelhamento da conta de utilizador a um único smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueDesativar o utilizador do smart card para início de sessão e autorização.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseNota: mesmo com a desativação de allowSmartCard, as identidades de certificados do smart card podem ainda ser usadas para outras operações, como assinatura e cifragem, e em aplicações de terceiros suportadas.
Gerir o comportamento de confiança do certificado do smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>O valor pode ser um dos seguintes:
0: não é necessária a confiança no certificado do smart card.
1: o certificado e a cadeia do smart card devem ser fidedignos.
2: é necessário que o certificado e a cadeia do smart card sejam fidedignos e que não recebam um estado de revogado.
3: é necessário que o certificado e a cadeia do smart card sejam fidedignos e que o estado de revogado seja devolvido como válido.
Fixação de certificados
É possível especificar as autoridades emissoras de certificados que são usadas para a avaliação de fidedignidade dos certificados de smart cards. Esta fidedignidade, que funciona em conjunto com as definições de fidedignidade de certificados (1, 2 ou 3 necessário) é conhecida por fixação de certificados. Coloque impressões digitais SHA-256 de autoridades de certificação (como valores de string, delimitados por vírgulas e sem espaços) numa sequência denominada TrustedAuthorities. Use o exemplo de ficheiro /private/etc/SmartcardLogin.plist fornecido abaixo como orientação. Quando a fixação de certificados é usada, apenas os certificados de smart card emitidos por autoridades de certificação constantes desta lista são considerados fidedignos. Tenha em atenção que a sequência TrustedAuthorities é ignorada quando a definição checkCertificateTrust está definida como 0 (desativada). Verifique que a propriedade é “ao nível da raiz” e as permissões são “legíveis por qualquer utilizador” após a edição.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>