У кошику немає товарів.

Вхід у macOS з YubiKey: розширені теми + ВІДЕО

admin

Порада: Ця стаття є доповненням до статті про вхід з YubiKey для macOS . Якщо ви шукаєте інструкції щодо налаштування YubiKey для входу в macOS, ознайомтеся з цією статтею, перш ніж звертатися до цієї.

Зміст

  • Виправлення неполадок та додаткові теми
    • Запит на сполучення смарт-картки не відображається
    • Ручне сполучення смарт-картки без інтерфейсу сполучення
  • Потрібна ваша смарт-картка YubiKey
  • Конфігурація FileVault
    • Комп’ютери Mac на базі Intel
    • Кремнієві комп’ютери Apple Mac
  • Кілька YubiKeys, Mac тощо
    • Використання однієї й тієї ж смарт-картки YubiKey на кількох комп’ютерах Mac
    • Використання однієї смарт-картки YubiKey для кількох облікових записів на одному Mac
    • Використання кількох YubiKeys з одним обліковим записом користувача на одному Mac
  • Втрачений або вкрадений YubiKey
  • Як від’єднати YubiKey від облікового запису macOS
  • Видалення сполучення смарт-картки з macOS
    • Щоб видалити один YubiKey або смарт-картку з інтерфейсу входу macOS
    • Щоб видалити всі парні YubiKeys та смарт-картки для одного користувача
    • Щоб видалити всі підключені YubiKeys та смарт-картки для поточного користувача, який увійшов у систему
    • Вимкнення інтерфейсу сполучення користувача в macOS
  •  Видалення сертифікатів з YubiKey
    • Щоб видалити всі сертифікати на YubiKey
    • Щоб видалити лише сертифікати, створені для входу в обліковий запис macOS

Виправлення неполадок та додаткові теми

Запит на сполучення смарт-картки не відображається

Іноді запит на сполучення, згаданий у розділі «Спів’язання YubiKey з обліковим записом macOS» (останній розділ у розділі «Вхід до YubiKey для macOS» ), не відображається. Якщо це станеться, виконайте наведені нижче кроки по порядку.

  • Щоб перевірити стан інтерфейсу сполучення, виконайте таку команду в терміналі:
    sc_auth pairing_ui -s status
  • Інтерфейс користувача Pairing у macOS може бути вимкнено. Щоб спробувати повторно ввімкнути його, виконайте таку команду в Терміналі: sc_auth pairing_ui -s enable
  • Після ввімкнення інтерфейсу сполучення знову вставте свій YubiKey.
  • Якщо це не допоможе, спробуйте ще кілька разів вставити свій YubiKey і перевірте, чи з’явиться запит на сполучення.
  • Якщо запит на сполучення все ще не відображається після вставлення YubiKey, спробуйте виконати таку команду в Терміналі:
    sc_auth pairing_ui -f

 Ручне сполучення смарт-картки без інтерфейсу користувача сполучення

Якщо інтерфейс користувача SmartCard Pairing увімкнено, а YubiKey має сертифікати у слотах 9a та 9d, але спливаюче вікно Smartcard Agent не відображається після підключення YubiKey, виконайте наведені нижче дії з усунення несправностей.

  1. Відкрийте термінал macOS
  2. Введіть наступну команду та натисніть клавішу Enter:
    sc_auth identities
    Якщо сертифікати присутні на YubiKey, але YubiKey не пов’язаний з обліковим записом користувача, в результаті має відображатися непов’язана ідентифікація, як показано нижче:

Хеш для вас буде іншим, але в прикладі буде використано B25AABF7F5F9B7C6BEE641D663D8E52C90BC7AB4

3. Виконайте таку команду, змінивши хеш відповідно до отриманого на кроці 2:
sudo sc_auth pair -h <ваш хеш> -u $(whoami) Приклад:

sudo sc_auth pair -h B25AABF7F5F9B7C6BEE641D663D8E52C90BC7AB4 -u $(whoami)

4. Виконайте таку команду, щоб підтвердити, що ідентифікатор тепер пов’язано з вашим обліковим записом користувача: sc_auth identities

5. Після підключення сполученого YubiKey переконайтеся, що macOS пропонує вам увійти за допомогою YubiKey, блокуючи комп’ютер (control-command-Q). 

6. Введіть PIN-код смарт-картки YubiKey, щоб розблокувати обліковий запис.

Потрібна ваша смарт-картка YubiKey

Користувачі комп’ютерів Apple silicon Mac : через деякі відмінності у способі роботи автентифікації за допомогою смарт-картки на комп’ютерах Mac з процесорами Apple silicon (порівняно з комп’ютерами з Intel), споживачі та окремі особи повинні розуміти, що вимога смарт-картки для входу в MacOS може призвести до блокування системи, якщо її виконати неправильно. Крім того, вимога смарт-картки для входу на комп’ютерах Apple silicon Mac також вимагає використання смарт-картки для розблокування FileVault. Щоразу, коли комп’ютер вимикається, macOS використовує останню використану смарт-картку для блокування диска за допомогою FileVault. У цьому випадку лише остання смарт-картка, яка використовувалася для входу, працюватиме для розблокування диска під час наступного запуску, що фактично робить будь-які смарт-картки, налаштовані як резервні копії, нездатними розблокувати диск. Таким чином, це рішення орієнтоване в першу чергу на корпоративні підприємства, які впровадили як централізовано керований центр сертифікації для управління життєвим циклом сертифікатів, так і систему управління кінцевими точками, яка забезпечує процес відновлення облікового запису для заблокованих користувачів.

Попередження: Використання смарт-картки для автентифікації може призвести до блокування системи , якщо її виконати неправильно. Yubico не несе відповідальності за будь-яке блокування системи, яке виникає внаслідок використання смарт-картки на вашому Mac. Якщо ви заблокували доступ до свого Mac, вимагаючи смарт-картку, і ресурси на цій сторінці не допомогли вам відновити доступ, вам потрібно звернутися до Apple за додатковою допомогою.

Перш ніж вносити будь-які зміни до конфігурації, будь ласка:

* Прочитайте цю статтю служби підтримки Apple , особливо розділ «Вимкнення автентифікації лише за допомогою смарт-картки».

* Зареєструйте принаймні дві смарт-картки та переконайтеся, що обидві працюють для автентифікації (для входу/розблокування облікового запису), а також зверніться до спеціальних застережень, описаних під час використання комп’ютерів Apple silicon Mac у розділі «Конфігурація FileVault» > Кремнієві комп’ютери Apple Mac у цій статті.

Конфігурація FileVault

FileVault — це вбудоване рішення macOS для повного шифрування диска .

Комп’ютери Mac на базі Intel

На комп’ютерах Mac з процесором Intel FileVault не підтримує смарт-картки для автентифікації перед завантаженням, тобто вам все одно потрібно буде використовувати пароль, щоб розблокувати диск, зашифрований FileVault. Це перший запит на введення пароля, який ви отримуєте після запуску Mac із вимкненого стану.

За замовчуванням, коли користувач вводить свій пароль для розшифрування диска FileVault під час завантаження, цей пароль буде передано, і смарт-картка не використовуватиметься для входу, навіть якщо ви налаштуєте її обов’язковим використанням . Щоб змінити це так, щоб користувач не входив автоматично в систему та йому відображався екран входу (другий запит автентифікації), виконайте команду нижче в Терміналі.

sudo defaults write /Library/Preferences/com.apple.loginwindow DisableFDEAutoLogin -bool YES

Apple silicon Macs

На комп’ютерах Apple silicon тепер підтримуються смарт-картки для автентифікації FileVault перед завантаженням. Оскільки зашифровані дані Mac ще не розблоковано під час цієї автентифікації, працюватиме лише та смарт-картка, яка використовувалася для автентифікації останньою. Це фактично робить будь-які смарт-картки, налаштовані як резервні копії, нездатними розблокувати диск. Таким чином, це рішення орієнтоване в першу чергу на корпоративні підприємства, які впровадили як централізовано керований центр сертифікації для управління життєвим циклом сертифікатів, так і систему управління кінцевими точками, яка забезпечує процес відновлення облікового запису для заблокованих користувачів. Споживачі та окремі особи повинні розуміти, що вимога смарт-картки для входу в MacOS може призвести до блокування системи, якщо її виконати неправильно.

Якщо ви не впевнені, який кремнієвий процесор у вашому Mac — Intel чи Apple, перегляньте цю статтю .

Кілька YubiKeys, Mac тощо.

Використання однієї й тієї ж смарт-картки YubiKey на кількох комп’ютерах Mac для входу в систему

  • Після налаштування YubiKey на першому Mac, на кожному іншому Mac просто підключіть YubiKey та дотримуйтесь інструкцій щодо сполучення.

Використання однієї смарт-картки YubiKey для кількох облікових записів на одному Mac

  • На одному Mac macOS дозволяє пов’язати певний YubiKey лише з одним обліковим записом користувача.

Використання кількох YubiKeys з одним обліковим записом користувача на одному Mac

  • Для будь-яких додаткових YubiKey, окрім першого, просто виконайте кроки, описані в розділі «Вхід до YubiKey для macOS»  . Після того, як це буде зроблено для всіх YubiKey, будь-який з них має мати змогу увійти/розблокувати ваш Mac, коли ви введете PIN-код. Зверніть увагу, що PIN-код може бути різним для кожного YubiKey, залежно від того, як ви їх налаштували. Крім того, зверніть увагу на наведене вище застереження щодо комп’ютерів Apple silicon Mac для автентифікації FileVault перед завантаженням, і лише остання використана смарт-картка працює для розблокування зашифрованого диска.

Втрачений або вкрадений YubiKey

  • Якщо ви виконали ці інструкції , щоб для входу вимагалася підключена смарт-картка, виконайте кроки, описані в тій самій статті в розділі Вимкнення автентифікації лише за допомогою смарт-картки .
  • Якщо ви не налаштували свій Mac на вимогу смарт-картки, то YubiKey не потрібен, тому ви все одно зможете увійти на свій Mac без YubiKey, ввівши звичайний пароль облікового запису (виконання кроків у цьому посібнику не змінить ваш звичайний пароль облікового запису). Щоб роз’єднати втрачений або вкрадений YubiKey, див. статтю Видалення сполучення смарт-картки з macOS .

 

Як від’єднати YubiKey від облікового запису macOS

Попередження: Від’єднання вашого YubiKey від macOS не вимикає вимогу щодо смарт-картки, тому, якщо ви ввімкнули цю вимогу, вам слід спочатку вимкнути її перед від’єднанням YubiKeys, щоб уникнути блокування. Профіль, який вмикає вимогу щодо смарт-картки, можна видалити через Системні налаштування > Профілі (зверніть увагу, що профілі не відображатимуться, якщо у вас не встановлено профіль). Для отримання додаткової інформації див. цю статтю Apple у розділі Вимкнення автентифікації лише за допомогою смарт-картки. Якщо ви не ввімкнули вимогу щодо смарт-картки, ігноруйте це попередження.

Щоб від’єднати вхід за допомогою смарт-картки від macOS, виконайте наведені нижче дії. Ви можете видалити всі сертифікати, встановлені на вашому YubiKey під час сполучення пристрою з macOS, або лише сертифікати, додані для входу в macOS. Також додано інструкції з скидання налаштувань, щоб macOS більше не пропонував вам сполучити ваш YubiKey або смарт-картку щоразу, коли виявлятимуться пристрої.

Видалення сполучення смарт-картки з macOS 

Щоб видалити один YubiKey або смарт-картку з інтерфейсу входу macOS

  1. Відкрийте термінал.
  2. Виконайте таку команду:
    sc_auth list -u [username] Приклад: sc_auth list -u john
  3. Виділіть та скопіюйте (Command+C) хеш, вказаний для вашого облікового запису користувача
    Примітка: Якщо з вашим обліковим записом пов’язано кілька смарт-карт YubiKey, і ви не впевнені, який хеш який, ви можете перевірити хеш конкретного YubiKey, виконавши таку команду з підключеним ключем:

    sc_auth identities
  4. Виконайте таку команду: sc_auth розпарити -h [хеш]

Щоб видалити всі парні YubiKeys та смарт-картки для одного користувача

  1. Відкрийте термінал macOS
  2. Виконайте таку команду:
    sc_auth unpair -u [username]
    Приклад:
    sc_auth unpair john

Щоб видалити всі підключені YubiKeys та смарт-картки для поточного користувача, який увійшов у систему

  1. Відкрийте термінал macOS
  2. Виконайте таку команду:
    sc_auth unpair -u $(whoami)

Вимкнення інтерфейсу сполучення користувача в macOS

Використовуйте цю опцію, якщо ви хочете вставити свій YubiKey, який містить сертифікати, і ви не хочете, щоб macOS пропонував вам підключити його до вашого облікового запису користувача.

  1. Відкрийте термінал macOS
  2. Виконайте таку команду:
    sc_auth pairing_ui -s disable

Примітка: Інтерфейс сполучення можна повторно ввімкнути будь-коли, виконавши таку команду в терміналі:
sc_auth pairing_ui -s enable

Видалення сертифікатів з YubiKey

Щоб видалити всі сертифікати на YubiKey

Використайте цю процедуру, якщо потрібно скинути налаштування програми PIV, що призведе до видалення всіх сертифікатів та скидання PIN-коду, PUK-коду та management key до значень за замовчуванням. Якщо потрібно зберегти свої сертифікати, перейдіть до наступної процедури.

  1. У Yubico Authenticator переконайтеся, що ви перебуваєте на головному екрані

2. Натисніть «Скидання до заводських налаштувань» (розташоване під меню кебабів, якщо воно не розгорнуте)

3. Тільки PIV-файл для натискання

Натисніть  «Скинути» , щоб скинути налаштування програми PIV на вашому YubiKey.

Щоб видалити лише сертифікати, створені для входу в обліковий запис macOS

Використайте цю процедуру, якщо потрібно видалити лише сертифікати, створені для входу в macOS.

  1. У Yubico Authenticator натисніть «Сертифікати» .

    2. На вкладці Сертифікати натисніть кнопку Автентифікація (9a)

    3. Натисніть Видалити сертифікат/ключ

    4. Натисніть «Видалити» , щоб підтвердити видалення сертифіката. Якщо буде запропоновано ввести PIN-код, введіть його та натисніть «ОК» . Якщо буде запропоновано ввести ключ керування, введіть ключ керування та натисніть «ОК» .

    5. На вкладці «Сертифікати» натисніть «Керування ключами» (9d)

    6. Натисніть Видалити сертифікат/ключ

    7. Натисніть «Видалити» , щоб підтвердити видалення сертифіката. Якщо буде запропоновано ввести PIN-код, введіть його та натисніть «ОК» . Якщо буде запропоновано ввести ключ керування, введіть ключ керування та натисніть «ОК» .

    Примітка:
    YubiKey Bio Multi-protocol Edition підтримує використання перевірки відбитків пальців замість PIN-коду під час виконання криптографічних операцій. Однак у випадку смарт-картки PIV, щоб надати користувачам цю опцію перевірки відбитків пальців, потрібне клієнтське програмне забезпечення або проміжне програмне забезпечення. Yubico реалізувала підтримку для цього в Yubico Minidriver, починаючи з версії 4.6.1 (доступно лише для ОС Windows). Якщо користувачі спробують використовувати смарт-картку PIV на YubiKey Bio Multi-protocol Edition без підтримки проміжного програмного забезпечення, вони зіткнуться з обмеженнями.

    У випадках, коли допоміжне проміжне програмне забезпечення недоступне або не використовується, користувачі все ще можуть отримати доступ до програми PIV на YubiKey Bio Multi-protocol Edition. Однак вони не матимуть можливості використовувати автентифікацію за відбитком пальця для криптографічних операцій. Натомість їм доведеться покладатися на традиційні методи, такі як введення PIN-коду.

    Хоча користувачі все ще можуть отримувати доступ до програми PIV та виконувати криптографічні операції, вони втрачають зручність та потенційно підвищену безпеку, що пропонує біометрична автентифікація. Без опції відбитка пальця користувачам, можливо, доведеться покладатися на PIN-код.

    Коментарі

    Додати коментар

    Ваш коментар буде переглянуто на сайті, якщо це необхідно

    YouTube
    Instaram. NEWS
    Instagram. SHOP
    Viber
    Telegram
    Телефон