Opções avançadas de smart card no Mac
Definições de configuração de smart card
Pode visualizar e editar definições de configuração e registos de smart card num computador Mac com a linha de comandos através das seguintes opções:
Lista os tokens disponíveis no sistema.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Ativar, desativar ou listar os tokens de smart card desativados.
sudo security smartcards token [-l] [-e token] [-d token]Desemparelhar o smart card.
sudo sc_auth unpair -u jappleeedMostrar os smart cards disponíveis.
sudo security list-smartcardsExportar elementos de um smart card.
sudo security export-smartcardInício de sessão do smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueDesativar os tokens PIV integrados.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Além de usar a linha comando, as seguintes opções também podem ser geridas através da carga útil do smart card. Encontrará informação adicional nas Definições de carga útil de MDM de Smart Card.
Ocultar o aviso para emparelhar durante a inserção do token.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseLimitar o emparelhamento da conta de utilizador a um único smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueDesativar o utilizador do smart card para início de sessão e autorização.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseNota: mesmo com a desativação de allowSmartCard, as identidades de certificados do smart card podem ainda ser usadas para outras operações, como assinatura e cifragem, e em aplicações de terceiros suportadas.
Gerir o comportamento de confiança do certificado do smart card.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>O valor pode ser um dos seguintes:
0: não é necessária a confiança no certificado do smart card.
1: o certificado e a cadeia do smart card devem ser fidedignos.
2: é necessário que o certificado e a cadeia do smart card sejam fidedignos e que não recebam um estado de revogado.
3: é necessário que o certificado e a cadeia do smart card sejam fidedignos e que o estado de revogado seja devolvido como válido.
Fixação de certificados
É possível especificar as autoridades emissoras de certificados que são usadas para a avaliação de fidedignidade dos certificados de smart cards. Esta fidedignidade, que funciona em conjunto com as definições de fidedignidade de certificados (1, 2 ou 3 necessário) é conhecida por fixação de certificados. Coloque impressões digitais SHA-256 de autoridades de certificação (como valores de string, delimitados por vírgulas e sem espaços) numa matriz denominada TrustedAuthorities. Use o exemplo de ficheiro /private/etc/SmartcardLogin.plist fornecido abaixo como orientação. Quando a fixação de certificados é usada, apenas os certificados de smart card emitidos por autoridades de certificação constantes desta lista são considerados fidedignos. Tenha em atenção que a sequência TrustedAuthorities é ignorada quando a definição checkCertificateTrust está definida como 0 (desativada). Verifique que a propriedade é “ao nível da raiz” e as permissões são “legíveis por qualquer utilizador” após a edição.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>