Yubikey 5 之PIV篇 (macOS登录)

Yubikey 5 之PIV篇 (macOS登录)

发布时间
分类
杂文
作者
Quintin
近日为提高设备安全性,遂入手Yubikey 5C一枚。本篇将探讨其在macOS上作为智能卡的用法。

1. 安装YubiKey Manager

点击此处下载安装Yubikey Manager。
notion image

2. 在Configure PINs中修改默认Key

notion image
以下为PIV的默认密码:
  • PIN:123456(允许6-8个字符,macOS仅允许数字)
  • PUK:12345678(允许6-8个字符)
  • 管理密钥(Management Key):010203040506070801020304050607080102030405060708(强烈建议勾选“用PIN码保护(Protect with PIN)”的选项,之后48位的管理密钥会储存在YubiKey上,在需要输入管理密钥的地方可以用PIN替代,否则则需在第三步中输入长达48位数的密钥)
如果遗忘PIN码,则需要返回上步,通过Reset PIV将其重置为默认值。

3. 为macOS帐户登录配置YubiKey

notion image
点击 Setup for macOS。如果在设置管理密钥时选择了“用PIN码保护”,请在提示中输入PIN码。如果您设置了自定义管理密钥并且没有使用PIN进行保护,请在提示中输入管理密钥。
完成后,取出YubiKey并将其重新插入。此时右上角会弹框,请选择配对。
notion image
并按照系统提示依次验证指纹(或输入macOS密码),PIN以及钥匙串的登录密码(一般同macOS密码)。输入后即完成绑定,此时可尝试锁定屏幕(Ctrl + Command + Q),此时若可以用PIN码解锁,则说明设置成功。

4. 取消YubiKey与macOS的配对

4.1. 删除YubiKey上的所有证书

notion image
通过Reset PIV将其重置为默认值。此时所有证书将一同被移除。

4.2. 仅删除为macOS登录创建的证书

notion image
移除9a(Authentication)和9d(Key Management)两个插槽。

4.3. 从macOS移除智能卡配对

4.3.1. 从macOS中删除单个YubiKey或智能卡

  1. 打开终端。
  1. 运行:sc_auth list [用户名]例如:sc_auth list 张三
  1. 选中并复制所需删除智能卡的hash。如果macOS有与多个YubiKey或智能卡配对,则可以通过插入智能卡并使用 sc_auth identities 来检查该设备的hash。
  1. 运行:sc_auth unpair -h [hash]

4.3.2. 删除单个用户的所有配对的YubiKey和智能卡

  1. 打开终端。
  1. 运行:sc_auth unpair -u [用户名]

4.3.3. 删除当前登录用户所有配对的YubiKey和智能卡

  1. 打开终端。
  1. 运行:sc_auth unpair -u $(whoami)

4.3.4. 在macOS中关闭配对用户界面

如果不希望macOS提示将YubiKey或智能卡与其配对,请使用此选项。
  1. 打开终端。
  1. 运行:sc_auth pairing_ui -s disable
  1. 如关闭后想重新打开,则运行 sc_auth pairing_ui -s enable
  1. 如不确定配对用户界面是否已启用,可运行 sc_auth pairing_ui -s status
  1. 如已插入并确定4已启用,却无提示,则可运行 sc_auth pairing_ui -f
  1. 如运行5后仍然无效,则可运行 sc_auth identities 检查是否有智能卡插入
  1. 如运行6能看到hash,则运行 sudo sc_auth pair -h <hash> -u $(whoami) 予以绑定
  1. 如运行6无法看到hash,则参照 4.1. 重置设备

5. 多个YubiKey或Mac

5.1. 在多台Mac上使用相同的YubiKey智能卡登录:

在第一台Mac上设置YubiKey之后,只需在其他Mac上插入YubiKey,然后按照3.中的步骤完成配对 。

5.2. 在单台Mac上将相同的YubiKey智能卡用于多个帐户:

在单个Mac上,macOS仅允许一个YubiKey与一个用户帐户关联。

5.3. 在单台Mac上为一个用户帐户使用多个YubiKey:

对于第一个以外的其他YubiKey,只需再次按照本指南中 3. 的步骤进行即可。为所有YubiKey完成此操作后,它们中的任何一个都应该能够登录到您的Mac。

6. 仅智能卡登录

6.1. 启用仅智能卡登录

点击此处下载并双击打开描述文件。
notion image
在系统偏好设置的描述文件中安装Smart card-only这个描述文件。安装后即可开启仅智能卡登录。
如需关闭,请在系统偏好设置的描述文件中移除描述文件。

6.2. 在启用仅智能卡登录后遗失智能卡的情况下登录

  1. 重启 Mac,然后立即按住 Command-R 键,看到 Apple 标志、旋转的地球或要求输入固件密码的提示时,请松开这些按键。
  1. 从实用工具窗口中选择“磁盘工具”,然后点按“继续”。
  1. 在“磁盘工具”边栏中,选择您正在使用的宗卷,然后从菜单栏中选取“Machine HD - 数据”>“装载”。(如果宗卷已装载,则这个选项呈暗灰色。)然后在系统提示时,输入您的管理员密码。
  1. 退出“磁盘工具”。
  1. 从菜单栏上的“实用工具”菜单中,选取“终端”。
  1. 删除配置描述文件储存库。要实现这一点,请打开“终端”,然后输入以下命令。以下命令为默认情况,如磁盘名不一致,请将 Machine*HD 替换为已安装了描述文件设置的 macOS 宗卷的名称。rm /Volumes/Machine*HD/var/db/ConfigurationProfiles/Store/MDM_ComputerPrefs.plistrm /Volumes/Machine*HD/var/db/ConfigurationProfiles/.profilesAreInstalledrm /Volumes/Machine*HD/var/db/ConfigurationProfiles/Settings/.profilesAreInstalledrm /Volumes/Machine*HD/var/db/ConfigurationProfiles/Store/ConfigProfiles.binaryrm /Volumes/Machine*HD/var/db/ConfigurationProfiles/Setup/.profileSetupDone
  1. 完成后,请选取苹果 () 菜单 >“重新启动”。
  1. 重新安装在您启用仅智能卡认证之前就已存在的配置描述文件。

7. 参考资料

https://support.apple.com/en-us/HT208372 Configure macOS for smart card-only authentication