Режим смарт-карты YubiKey на macOS — удобная аутентификация для разработчиков

Разработчикам, которым нужен только доступ к аккаунту macOS, это неудобно, поэтому для IT-предприятий это лишние приобретения. И они будут необязательны, если вы просто приобретете ключи безопасности YubiKey, поддерживающие режим смарт-карты..

Рассмотрим, как работают YubiKey в режиме смарт-карты на MacOS и как их настроить.

План статьи:

• Совместимые с macOS ключи безопасности
• Требования к подключению YubiKey PIV
• Настройка YubiKey PIV
• Настройка YubiKey для входа в аккаунт
• Как сбросить настройки и отключить YubiKey
• Устранение возможных неисправностей и другие вопросы

Совместимые с macOS ключи безопасности

Некоторые серии ключей YubiKey имеют функцию смарт-карты PIV (personal identity verification) и поддерживают протокол CCID (integrated circuit card interface device). То есть могут идентифицировать личность и не требуют дополнительного считывающего оборудования, достаточно USB или lightning. Больше информации представлено в статье: “Режим смарт-карты Yubikey без дополнительного оборудования”.

В таблице ниже представлены серии ключей, работающих в режиме смарт-карты, с разными формфакторами.

Требования к подключению YubiKey PIV

• Версия macOS High Sierra (10.13) или более новая.
• Доступ к учетной записи администратора.
• Приложение Менеджер YubiKey, версия для macOS.

Примечание. Пользователям с процессорами Apple Silicon рекомендуем сразу ознакомиться с этим разделом.

Настройка YubiKey PIV

Стандартные настройки

YubiKey PIV имеет стандартные настройки:

• PIN-код: 123456 (разрешено 6-8 символов, macOS требует только цифры).
• PUK: 12345678 (разрешено 6-8 символов).
• Ключ управления: 010203040506070801020304050607080102030405060708.

Если у вас возникнет необходимость сбросить настройки к стандартным, воспользуйтесь Менеджером YubiKey:

• Подключите ключ безопасности YubiKey к компьютеру.
• Откройте приложение Менеджер YubiKey.
• Найдите вкладку «Программы».
• Выберите «PIV».
• Нажмите кнопку «Сброс PIV».

Как установить новый PIN-код, PUK и ключ управления

• Вставьте ключ YubiKey.
• Войдите в программу Менеджер YubiKey и перейдите по ссылкам «Программы» -> «PIV».
• Выберите функцию «Настройка PIN-кодов».
• Нажмите кнопку «Изменить PIN-код».
  • Введите текущий код, установленный изготовителем или выберите функцию «По предварительной опции».
  • Введите новый PIN-код — это 6-8 цифр, так как macOS не принимает другие символы для кода.
  • Подтвердите новый PIN-код и запомните его или сохраните в надежном месте.
• Нажмите кнопку «Изменить PIN-код смарт-карт».

Таким же образом можно изменить и PUK (или ключ управления), выбрав в разделе «Настроить PIN-код» функцию «Изменить PUK» (или «Изменить ключ управления»).

Настройка YubiKey для входа в аккаунт

• Откройте в приложении Менеджер YubiKey страницу «Программы» и выберите раздел «PIV».
• Нажмите на ссылку «Настройки для macOS».
• Далее, если вы изменяли стандартный PIN-код, PUK или ключ управления, введите его по запросу сервера и нажмите кнопку «ОК».
• Извлеките ключ YubiKey и подключите его к порту USB.
• Когда появится запрос «Создание со смарт-картой macOS», нажмите кнопку «Пара». Если этот запрос не появится, перейдите к разделу «Устранение неполадок» и попробуйте устранить проблему.
• Затем введите пароль от учетной записи и снова нажмите кнопку «Пара».
• Далее в открывшемся окне “Соединение смарт-карт” введите свой настроенный PIN-код и нажмите «ОК».
• Затем по запросу системы введите пароль от учетной записи и нажмите кнопку «ОК».

Попробуйте проверить конфигурацию, нажав Ctrl+Command+Q – эта команда заблокирует компьютер. Теперь попробуйте разблокировать его с помощью ключа YubiKey — вставьте ключ безопасности и введите PIN-код.

Как сбросить настройки и отключить YubiKey

Иногда может потребоваться удаление YubiKey с компьютера. Следуйте инструкциям ниже, чтобы не заблокировать вход в систему.

В первую очередь нужно удалить системное требование по применению смарт-карты, если она была настроена. Потому что если сначала удалить YubiKey, то доступ к системе будет заблокирован. Затем можно удалить все сертификаты, установленные при использовании YubiKey на устройстве macOS, или только те сертификаты, которые требуются для входа.

Как удалить системное требование на применение смарт-карты в macOs

Удалить один ключ или смарт-карту YubiKey

• Откройте терминал и введите запрос:sc_auth list [username]где вместо [username]нужно добавить имя пользователя.
• Скопируйте хэш, соответствующий вашему пользователю.
• Запустите команду: sc_auth unpair -h [hash]

Удалить все ключи или смарт-карты, принадлежащие одному пользователю

• Откройте терминал.
• Введите запрос: sc_auth unpair -u [username]

Удалить все ключи или смарт-карты пользователя, который сейчас вошел в систему

• Откройте терминал.
• Введите запрос: sc_auth unpair -u $(whoami)

Отключить интерфейс для создания пары в macOS

Если вы не хотите, чтобы система macOS предлагала вам подключить ключ YubiKey к вашей системной записи вовремя, когда вы авторизуетесь в различных приложениях и сервисах с помощью аппаратного устройства, то примените следующие настройки:

• Откройте терминал.
• Введите запрос: sc_auth pairing_ui -s disable

Если вы хотите возвратить предыдущие настройки, примените команду: sc_auth pairing_ui -s enable

Как удалить сертификаты с YubiKey

Удаление всех сертификатов

Удаление всех сертификатов приводит к сбросу первоначальных настроек. Так что действия будут соответствующие:

• В интерфейсе менеджера YubiKey найдите вкладку: «Программы».
• Выберите «PIV».
• Нажмите кнопку «Сброс PIV».

Удалить только сертификаты, предназначенные для входа в macOS

• В программе Менеджер YubiKey нажмите «Программы» – > «PIV».
• Затем нажмите кнопку «Настроить сертификаты».
• На вкладке «Аутентификация» нажмите «Удалить».
• Подтвердите действие, нажав Да.
• Если вы хотите ввести PIN-код, введите PIN-код и нажмите кнопку «OK». При вводе ключа управления введите его и нажмите «OK».
• Теперь перейдите на вкладку «Управление ключами» и повторите те же действия.

Устранение возможных неисправностей и другие вопросы

Не появляется подсказка “Создание пары со смарт-картой macOS”

Если при настройке входа в аккаунт macOS подсказка «Создание со смарт-картой macOS» не появляется, интерфейс создания пары может быть отключен. Попытайтесь выполнить следующие шаги для устранения этой неисправности:

• Откройте терминал.
• Введите команду: sc_auth pairing_ui -s enable
• Проверьте состояние пользователя, запустив: sc_auth pairing_ui -s status
• Интерфейс должен быть включен, поэтому попробуйте повторно настроить ваш YubiKey.

Если предыдущие шаги не привели к нужному результату, попробуйте другие варианты:

• Запустите команду: sc_auth pairing_ui -f
• Если этот шаг тоже не поможет, введите в терминал: sc_auth identities, чтобы проверить, обнаруживает ли ваша система спаренные смарт-карты.
• Если обнаруживает, то вы должны получить что-то похожее на такой ответ:

• У цьому разі ви можете замінити хеш (тобто цей рядок з прикладу: A205691C39CBE2FF81F72070C8FEE6B27DF4E527)на строку, отвечающую за вывод индикаторов: sudo sc_auth pair -h <hash > -u $(whoami)
• Если вы не получили ответ на запрос sc_auth pairing_ui -f, придется сбросить приложение смарт-карты на YubiKey. Для этого введите в терминале команду: ykman piv reset.
• Когда вы получите соответствующий запрос от системы, нажмите Y, затем Enter,чтобы подтвердить его.

Нужна смарт-карта YubiKey

Пользователи с процессорами Apple Silicon должны быть осторожны и внимательны при настройке аутентификации с помощью YubiKey, так как есть риск блокировки системы. Это происходит потому, что в отличие от процессоров Intel, Mac Apple Silicon требует смарт-карты для разблокировки FileVault – это полноценное встроенное решение для дискового шифрования. В этом сценарии для разблокировки системы подойдет только последняя используемая смарт-карта. Это может привести к тому, что запасной ключ не будет действовать и требование применения смарт-карты может привести к блокировке, если выполнить ее неправильно. Поэтому перед внесением изменений в конфигурацию сначала следует тщательно ознакомиться с инструкциями от Apple (инструкция 1, инструкция 2).

Несколько ключей YubiKey и компьютеров macOS

• Вы можете использовать одну смарт-карту для нескольких компьютеров. Для этого вставьте ключ к каждому из macOS и пройдите шаги, описанные в разделе настройка YubiKey.
• Вы также можете подключить несколько ключей к одному macOS. Для этого пройдите процедуру настройки с каждым ключом безопасности YubiKey. Теперь вы сможете использовать любой из этих ключей для входа в одну учетную запись системы. Вход выполняется по PIN-коду. Вы можете по желанию установить одинаковый PIN-код для всех ключей или наоборот, использовать разные коды.

Примечание. Один ключ можно связать только с одной определенной учетной записью пользователя.

Утерянный или украденный YubiKey

• Если вы настраивали смарт-карту для входа без пароля по инструкции Apple, найдите в ней раздел “Отключить аутентификацию только по смарт-карте” и воспользуйтесь ею, чтобы отключить требование системы.
• Если вы не настраивали предыдущей функции, то сможете войти в систему с помощью пароля (или запасного ключа), после чего сбросить настройки и отсоединить YubiKey согласно инструкции, описанной выше.

Мы рассмотрели способы настройки YubiKey на macOS. Напоминаем о необходимости иметь запасные ключи от ваших учетных записей на всякий случай. Они необязательно должны быть одного и того же формфактора, чтобы вы могли их подключить. Главное — чтобы они были совместимы с вашим устройством и имели соответствующие протоколы. Чтобы легко и быстро подобрать для себя основной или дополнительный ключ YubiKey, переходите по ссылке или жмите на кнопку ниже.

Похожие материалы в Базе Знаний