Mac’te ileri düzey akıllı kart seçenekleri
Akıllı kart konfigürasyonu ayarları
Aşağıdaki seçenekler için komut satırını kullanarak bir Mac bilgisayardaki belirli akıllı kart konfigürasyon ayarlarını ve günlüklerini görüntüleyebilir ve düzenleyebilirsiniz:
Sistemde kullanılabilir jetonları listeleyin.
pluginkit -m -p com.apple.ctk-tokenscom.apple.CryptoTokenKit.setoken(1.0)com.apple.CryptoTokenKit.pivtoken(1.0)Akıllı kart jetonlarını etkinleştirin, etkisizleştirin veya etkisiz olanları listeleyin.
sudo security smartcards token [-l] [-e token] [-d token]Akıllı kartın eşlemesini kaldırın.
sudo sc_auth unpair -u jappleeedKullanılabilir akıllı kartları görüntüleyin.
sudo security list-smartcardsAkıllı karttaki öğeleri dışa aktarın.
sudo security export-smartcardAkıllı kart günlüğünü tutun.
sudo defaults write /Library/Preferences/com.apple.security.smartcard Logging -bool trueYerleşik PIV jetonlarını etkisizleştirin.
sudo defaults write /Library/Preferences/com.apple.security.smartcard DisabledTokens -array com.apple.CryptoTokenKit.pivtoken
Komut satırını kullanmaya ek olarak, aşağıdaki seçenekler de Smart Card verisi kullanılarak yönetilebilir. Daha fazla bilgi için Akıllı Kart MDM verisi ayarları konusuna bakın.
Jeton yerleştirmede eşleme isteğini gizleyin.
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool falseKullanıcı hesabı eşlemeyi tek bir akıllı kartla sınırlayın.
sudo defaults write /Library/Preferences/com.apple.security.smartcard oneCardPerUser -bool trueAkıllı kart kullanıcısını oturum açma ve yetkilendirme için etkisizleştirin.
sudo defaults write /Library/Preferences/com.apple.security.smartcard allowSmartCard -bool falseNot: allowSmartCard etkisizleştirildiğinde akıllı kart, sertifika kimlikleri imzalama ve şifreleme gibi diğer işlemler için ve desteklenen üçüncü parti uygulamalarda hâlâ kullanılabilir.
Akıllı kart sertifikası güven davranışını yönetin.
sudo defaults write /Library/Preferences/com.apple.security.smartcard checkCertificateTrust -int <value>Değer aşağıdakilerden biri olabilir:
0: Akıllı kart sertifika güveni gerekli değildir.
1: Akıllı kart sertifikası ve zincirine güvenilmelidir.
2: Sertifika ve zincire güvenilmelidir ve bunlar iptal durumu almamalıdır.
3: Sertifika ve zincire güvenilmelidir ve iptal durumu geçerli döndürülür.
Sertifika sabitleme
Akıllı kart sertifikalarının güven değerlendirmesi için kullanılan sertifika veren otoriteleri belirtmek mümkündür. Sertifika Güveni ayarlarıyla birlikte çalışan (1, 2 veya 3 gereklidir) bu güven, sertifika sabitleme olarak bilinir. Sertifika otoritelerinin SHA-256 parmak izlerini (virgülle ayrılmış ve boşluksuz dizgi değerleri olarak) TrustedAuthorities adlı bir diziye yerleştirin. Yol gösterici olarak aşağıdaki örnek /private/etc/SmartcardLogin.plist dosyasını kullanın. Sertifika sabitleme kullanıldığında, yalnızca bu listedeki sertifika otoriteleri tarafından verilen SmartCard sertifikaları güvenilir olarak değerlendirilir. checkCertificateTrust ayarı 0’a (kapalı) ayarlandığında TrustedAuthorities dizisinin yok sayıldığını unutmayın. Düzenlemeden sonra sahibin “root” olduğunu ve izinlerin “herkes tarafından okunabilir” olarak ayarlandığını doğrulayın.
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict> <key>AttributeMapping</key> <dict> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> </dict> <key>TrustedAuthorities</key> <array> <string>SHA256_HASH_OF_CERTDOMAIN_1,SHA256_HASH_OF_CERTDOMAIN_2</string> </array></dict></plist>