Обеспечение поддержки входа в macOS по токену или смарт-карте Рутокен

В качестве примера настроим аутентификацию для учетной записи mactest сертификатом некоего Фомичева Артема

Данная инструкция применима к macOS версий 10.9 - 10.14 

Предварительная подготовка.

1. Для аутентификации в системе используется сертификат RSA (1024 или более), выписанный на токен Рутокен ЭЦП 2.0. Также вам понадобится корневой сертификат (в виде .cer файла). Для аутентификации в OS X может использоваться любое устройство данного семейства:

2. На компьютере под управлением OS X должен быть установлен модуль поддержки Связки ключей (Keychain), который можно скачать с официального сайта по ссылке. После установки данного модуля токены Рутокен будут видны в Связке ключей. Связку ключей (Keychain) можно найти в Программы/Утилиты (Applications/Utilities).

Внешний вид панели Связки ключей при установленном модуле поддержки и подключенном к компьютеру Рутокен ЭЦП

Настройка аутентификации

1. Операции по настройки аутентификации осуществляются через Терминал (Terminal) который можно найти в Программы/Утилиты (Applications/Utilities).

Внешний вид Терминала

2. Первоначально необходимо активировать возможность аутентификации по смарт-картам с помощью команды:

sudo security authorizationdb smartcard enable

Данная команда возвращает YES (0) в случае успешного выполнения.


3. Привяжем приватный ключ на токене к аккаунту пользователя.


4. В "Связке ключей" (Keychain) необходимо разместить корневой сертификат в связке "Система" (System). Сделать это можно перетащив сертификат в окошко связки "Система".

Установка корневого сертификата в Связку ключей "Система"

Для проверки корректности работы аутентификации извлечем токен Рутокен и перезагрузим систему. Первоначально мы увидим стандартный запрос пароля, однако с подключением токена вместо "пароль" в окошке ввода появится "PIN".

Запрос пин-кода токена при аутентификации

 Вводим пин-код пользователя токена и успешно аутентифицируемся в системе.