Режим смарт-картки YubiKey на macOS — зручна автентифікація для розробників

Розробникам, яким потрібен лише доступ до облікового запису macOS, це незручно, тож для IT-підприємств це зайві придбання. І вони будуть необов’язкові, якщо ви просто придбаєте ключі безпеки YubiKey, що підтримують режим смарт-картки. 

Розглянемо, як працюють YubiKey в режимі смарт-картки на macOS та як їх налаштувати.

План статті:

• Сумісні з macOS ключі безпеки
• Вимоги для підключення YubiKey PIV
• Налаштування YubiKey PIV
• Налаштування YubiKey для входу в обліковий запис
• Як скинути налаштування та від’єднати YubiKey
• Усунення можливих несправностей та інші питання

Сумісні з macOS ключі безпеки

Деякі серії ключів  YubiKey мають функцію смарт-картки PIV (personal identity verification) та підтримують протокол CCID (integrated circuit card interface device). Тобто можуть ідентифікувати особистість та не потребують додаткового обладнання для зчитування, достатньо USB або lightning. Більше інформації надано в статті: “Режим смарт-картки Yubikey без додаткового обладнання”. 

У таблиці нижче представлені серії ключів, що працюють в режимі смарт-картки, з різними формфакторами. 

Вимоги для підключення YubiKey PIV

• Версія macOS High Sierra (10.13) або новіша. 
• Доступ до облікового запису адміністратора.
• Додаток Менеджер YubiKey, версія для macOS.

Примітка. Користувачам з процесорами Apple Silicon рекомендуємо одразу ознайомитися з цим розділом.

Налаштування YubiKey PIV

Стандартні налаштування

YubiKey PIV має стандартні налаштування:

• PIN-код: 123456 (дозволено 6-8 символів, macOS вимагає лише цифри).
• PUK: 12345678 (дозволено 6-8 символів).
• Ключ керування: 010203040506070801020304050607080102030405060708.

Якщо у вас виникне необхідність скинути налаштування до стандартних, скористайтеся Менеджером YubiKey:

• Під’єднайте ключ безпеки YubiKey до комп’ютера.
• Відкрийте додаток Менеджер YubiKey.
• Знайдіть вкладку: «Програми».
• Виберіть: «PIV».
• Натисніть: «Скинути PIV».

Як встановити новий PIN-код, PUK та ключ керування

• Вставте ключ YubiKey.
• Увійдіть у програму  Менеджер YubiKey та перейдіть за посиланнями «Програми» -> «PIV».
• Виберіть функцію «Налаштувати PIN-коди».
• Натисніть на кнопку «Змінити PIN-код».
  • Введіть поточний код, що був встановлений виробником або виберіть функцію «За попередньою опцією».
  • Введіть новий PIN-код — це має бути 6-8 значний рядок з цифр, бо macOS не приймає інші символи для коду.
  • Підтвердьте новий PIN-код та запам’ятайте його або збережіть в надійному місці.
• Натисніть кнопку «Змінити PIN-код з’єднання смарт-карт».

Таким же чином ви можете змінити й PUK (або ключ керування), вибравши у розділі «Налаштувати PIN-код» функцію «Змінити PUK» (або «Змінити ключ керування»).

Налаштування YubiKey для входу в обліковий запис

• Відкрийте в додатку Менеджер YubiKey сторінку «Програми» і виберіть розділ «PIV».
• Натисніть посилання «Налаштування для macOS».
• Далі, якщо ви змінювали стандартний PIN-код, PUK або ключ керування, введіть його на запит сервера та натисніть кнопку «ОК».
• Вийміть ключ YubiKey та знову під’єднайте його до порту USB.
• Коли з’явиться запит «Створення пари зі смарт-карткою macOS», натисніть кнопку «Пара». Якщо цей запит не з’явиться, перейдіть до розділу «Усунення несправностей» та спробуйте розв’язувати цю проблему.
• Після цього введіть пароль від облікового запису та знову натисніть кнопку «Пара». 
• Далі у віконці “З’єднання смарт-карт” введіть свій налаштований PIN-код та натисніть «ОК».
• Потім на запит системи введіть пароль від облікового запису та натисніть «ОК».

Спробуйте перевірити конфігурацію, натиснувши Ctrl+Command+Q — ця команда заблокує комп’ютер. Тепер спробуйте його розблокувати за допомогою ключа YubiKey — вставте ключ безпеки та введіть PIN-код.

Як скинути налаштування та від’єднати YubiKey

Іноді може знадобитися вилучити YubiKey з комп’ютера. Слід дотримуватися інструкцій нижче, щоб не заблокувати при цьому вхід до системи. 

В першу чергу треба видалити системну вимогу на застосування смарт-картки, якщо вона була налаштована. Бо якщо спочатку видалити YubiKey, доступ до системи буде заблокований. Потім ви можете видалити всі сертифікати, що були встановленні під час використання YubiKey на пристрої macOS, або лише ті сертифікати, що потрібні для входу.

Як видалити системну вимогу на застосування смарт-картки в macOs

Видалити один ключ або смарт-картку YubiKey

• Відкрийте термінал, та введіть запит:  sc_auth list [username]де замість [username]треба додати ім’я користувача. 
• Скопіюйте хеш, що відповідає вашому користувачу. 
• Запустіть команду: sc_auth unpair -h [hash]

Видалити всі ключі або смарт-картки, що належать одному користувачу

• Відкрийте термінал.
• Введіть запит: sc_auth unpair -u [username]

Видалити всі ключі або смарт-картки користувача, що зараз увійшов у систему

• Відкрийте термінал.
• Введіть запит: sc_auth unpair -u $(whoami)

Вимкнути інтерфейс на створення пари в macOS

Якщо ви не хочете, щоб система macOS пропонувала вам приєднати ключ YubiKey до вашого системного запису під час, коли ви авторизуєтеся в різних програмах та сервісах за допомогою апаратного пристрою, то застосуйте наступні налаштування:

• Відкрийте термінал.
• Введіть запит: sc_auth pairing_ui -s disable 

Якщо ви захочете повернути попередні налаштування, застосуйте команду: sc_auth pairing_ui -s enable

Як видалити сертифікати з YubiKey

Видалення всіх сертифікатів

Видалення всіх сертифікатів призводить до скидання до первісних налаштувань. Тож дії будуть відповідні:

• В інтерфейсі Менеджеру YubiKey знайдіть вкладку: «Програми».
• Виберіть: «PIV».
• Натисніть: «Скинути PIV».

Видалити лише ті сертифікати, що призначені для входу в macOS

• В програмі Менеджер YubiKey натисніть «Програми» – > «PIV».
• Далі натисніть кнопку «Налаштувати сертифікати».
• У вкладці «Автентифікація» натисніть «Видалити».
• Підтвердьте дію, натиснувши «Так».
• Якщо вам буде запропоновано ввести PIN-код, введіть PIN-код і натисніть кнопку «OK». Якщо буде запропоновано ввести ключ керування, введіть його та натисніть «OK».
• Тепер перейдіть у вкладку «Керування ключами» та повторіть ті ж самі дії.

Усунення можливих несправностей та інші питання

Не з’являється підказка «Створення пари зі смарт-карткою macOS»

Якщо під час налаштування входу в обліковий запис системи macOS підказка «Створення пари зі смарт-карткою macOS» не з’являється, інтерфейс створення пари може бути вимкнено. Спробуйте виконати такі кроки для усунення цієї несправності: 

• Відкрийте термінал.
• Введіть команду: sc_auth pairing_ui -s enable
• Перевірте стан користувача, запустивши: sc_auth pairing_ui -s status
• Інтерфейс має бути увімкнено, тож спробуйте повторно налаштувати ваш YubiKey.

Якщо попередні кроки не призвели до потрібного результату, спробуйте інші варіанти:

• Запустіть команду: sc_auth pairing_ui -f
• Якщо цей крок теж не допоможе, введіть у термінал: sc_auth identities, щоб перевірити, чи взагалі виявляє ваша система спарені смарт-картки. 
• Якщо виявляє, то ви маєте отримати щось схоже на таку відповідь: 

• У цьому разі ви можете замінити хеш (тобто цей рядок з прикладу: A205691C39CBE2FF81F72070C8FEE6B27DF4E527)на рядок, що відповідає за виведення індикаторів: sudo sc_auth pair -h <hash > -u $(whoami)
• Якщо ви не отримали відповідь на запит sc_auth pairing_ui -f, доведеться скинути програму смарт-картки на YubiKey. Для цього введіть у терміналі команду: ykman piv reset.
• Коли ви отримаєте відповідний запит від системи, натисніть Y, а потім Enter, щоб підтвердити його.

Потрібна смарт-картка YubiKey

Користувачі з процесорами Apple Silicon повинні бути обережними та уважними при налаштуванні автентифікації за допомогою YubiKey, бо є ризик блокування системи. Це відбувається тому, що на відміну від процесорів Intel, Mac Apple Silicon вимагає смарт-карти для розблокування FileVault — це повноцінне вбудоване рішення для дискового шифрування. У цьому сценарії для розблокування системи підійде тільки остання смарт-карта, що використовувалася. Це може призвести до того, що запасний ключ не буде діяти та вимога застосування смарт-картки може призвести до блокування, якщо виконати її неправильно. Тож перед внесенням змін у конфігурацію, спочатку слід ретельно ознайомитися з інструкціями від Apple (інструкція 1, інструкція 2). 

Кілька ключів YubiKey та комп’ютерів macOS

• Ви можете використовувати одну смарт-картку для кількох комп’ютерів. Для цього вставте ключ до кожного з macOS та пройдіть кроки, описані у розділі налаштування YubiKey.
• Також ви можете під’єднати кілька ключів до одного macOS. Для цього пройдіть процедуру налаштування з кожним ключем безпеки YubiKey. Тепер ви зможете використовувати будь-який з цих ключів для входу в один обліковий запис системи. Вхід відбувається за PIN-кодом. Ви можете за бажанням встановити однаковий PIN-код для всіх ключів або навпаки, використовувати різні коди.

Примітка. Один ключ можна пов’язати тільки з одним певним обліковим записом користувача.

Загублений або вкрадений YubiKey

• Якщо ви налаштовували смарт-картку для входу без пароля за інструкцією Apple, знайдіть в ній розділ “Вимкнути автентифікацію лише за смарт-карткою” та скористайтеся нею, щоб вимкнути вимогу системи.
• Якщо ви не налаштовували попередньої функції, то зможете увійти в систему за допомогою пароля (або запасного ключа), після чого скинути налаштування та від’єднати YubiKey згідно з інструкцією, описаною вище.

Ми розглянули способи налаштування YubiKey на macOS. Нагадуємо про необхідність мати запасні ключі від ваших облікових записів про всяк випадок. Вони не обов’язково повинні бути одного й того самого формфактора, щоб ви могли їх під’єднати. Головне — щоб вони були сумісні з вашим пристроєм та мали відповідні протоколи. Щоб легко та швидко підібрати для себе основний чи додатковий ключ YubiKey, переходьте за посиланням або тисніть на кнопку нижче.

Схожі матеріали в Базі Знань