Mac में समर्थित स्मार्ट कार्ड के फ़ंक्शन
macOS 10.15 या बाद के संस्करणों में निम्नांकित क्षमताओं के लिए बिल्ट-इन समर्थन शामिल है :
प्रमाणन : LoginWindow, PKINIT, SSH, Screensaver, Safari, प्रमाणन डायलॉग और CryptoTokenKit का समर्थन करने वाले तृतीय-पक्ष के ऐप
साइन किया जा रहा है : CryptoTokenKit का समर्थन करने वाले मेल और तृतीय-पक्ष ऐप्स
एंक्रिप्शन : CryptoTokenKit का समर्थन करने वाले मेल, कीचेन ऐक्सेस और तृतीय-पक्ष ऐप्स
नोट : यदि आपका संगठन macOS 10.15 से पहले के तृतीय-पक्ष सॉफ़्टवेयर का उपयोग कर रहा है, तो याद रखें कि लेगसी टोकन समर्थन को अक्षम किया जाता है और टोकन किए गए पर आधारित समाधान उपलब्ध नहीं रह जाते।
PIV कार्ड प्रोविज़निंग
macOS के साथ स्मार्ट कार्ड का उपयोग करने के लिए, उपयुक्त सर्टिफ़िकेट को स्लॉट 9a (PIV प्रमाणन) और 9d (की प्रबंधन) में पॉप्युलेट किया जाना चाहिए। यदि ईमेल या दस्तावेज़ पर साइन करने जैसे काम आवश्यक हों, तो वैकल्पिक रूप से, एक सर्टिफ़िकेट को स्लॉट 9c (डिजिटल साइनिंग) में प्रावधान किया जाना चाहिए।
Active Directory के साथ विशेषता मिलान (नीचे विवरण दिया गया) का उपयोग करते समय, PIV प्रमाणन सर्टिफ़िकेट और NT मुख्य नाम और ActiveDirectory विशेषता में संग्रहित dsAttrTypeStandard:AltSecurityIdentities को केस-संवेदनशीलता के साथ मेल खाना चाहिए।
प्रमाणन
स्मार्ट कार्ड का इस्तेमाल टू-फ़ैक्टर प्रमाणन के लिए किया जा सकता है। कार्ड अनलॉक करने के लिए दो फ़ैक्टर शामिल हैं - “समथिंग-यू-हैव” (कार्ड) और “समथिंग-यू-नो” (PIN)। macOS 10.12.4 या उसके बाद के संस्करण में Safari का उपयोग करने वाली वेबसाइट में स्मार्ट कार्ड लॉगिन प्रमाणन और क्लाइंट सर्टिफ़िकेट प्रमाणन के लिए स्थानीय समर्थन होता है। macOS भी Kerberos द्वारा समर्थित सेवाओं में एकल साइन-ऑन के लिए की पेयर (PKINIT) का उपयोग करते हुए Kerberos का समर्थन करता है।
नोट : यदि सिस्टम लॉगइन के लिए इस्तेमाल किया जाता है, तो सुनिश्चित करें कि स्मार्ट कार्ड के लिए सर्टिफ़िकेट प्रमाणन और एंक्रिप्शन करने के लिए “की”, दोनों का सही तरीक़े से प्रावधान किया गया हो। एंक्रिप्शन की का उपयोग कीचेन पासवर्ड को रैप करने के लिए किया जाता है; एंक्रिप्शन की के अभाव के कारण कीचेन संकेत बारबार दिखाई देते हैं।
डिजिटल साइनिंग और एंक्रिप्शन
मेल ऐप में, यूज़र ऐसे संदेश भेज सकता है, जो डिजिटल रूप से साइन और एंक्रिप्ट किए जाते हैं। फ़ीचर का उपयोग करने के लिए डिजिटल साइन और एंक्रिप्शन सर्टिफ़िकेट पर केस-संवेदी ईमेल पता विषय या विषय वैकल्पिक नामों की आवश्यकता होती है जो संगत स्मार्ट कार्ड में संलग्न PIV टोकन पर होते हैं। यदि कोई कॉन्फ़िगर ईमेल अकाउंट किसी डिजिटल साइनिंग या संलग्न PIV टोकन पर एंक्रिप्शन सर्टिफ़िकेट पर ईमेल ऐड्रेस को मैच करता है, तो Mail ऑटोमैटिक रूप से एक नए संदेश टूलबार में ईमेल साइनिंग बटन प्रदर्शित करता है। बंद लॉक आइकॉन दिखाता है कि संदेश को प्राप्तकर्ता की पब्लिक-की के साथ एंक्रिप्टेड रूप में भेजी जाती है।
कीचेन रैपिंग
खाता लॉगइन के लिए एंक्रिप्शन की—जिसे ”की” प्रबंधन की भी कहा जाता है—का होना आवश्यक है, ताकि कीचेन पासवर्ड रैपिंग फ़ीचर काम कर सके। “की प्रबंधन की” की कमी के कारण यूज़र को पूरे लॉगिन सत्र में बार-बार लॉगिन कीचेन पासवर्ड के लिए संकेत किया जाता है, जिससे ख़राब यूज़र अनुभव मिलता है। इसके अतिरिक्त, स्मार्ट कार्ड के अनिवार्य वातावरण में पासवर्ड का यह उपयोग चिंता का विषय हो सकता है। यदि यूज़र के स्मार्ट कार्ड से लॉग इन करने पर “की प्रबंधन की” मौजूद होता है, तो कीचेन का अनुभव पासवर्ड-आधारित लॉगिन के समान होता है, जिसमें यूज़र को लॉगिन कीचेन पासवर्ड के लिए बार-बार संकेत नहीं दिया जाता है।
स्मार्ट कार्ड पेलोड
Apple डेवलपर वेबसाइट पर स्मार्ट कार्ड पेलोड में स्मार्ट कार्ड के मोबाइल डिवाइस प्रबंधन (MDM) के लिए समर्थन जानकारी शामिल होती है। स्मार्ट कार्ड समर्थन में स्मार्ट कार्ड को अनुमति देने, स्मार्ट कार्ड लागू करने, प्रति यूज़र एक स्मार्ट कार्ड पेयरिंग की अनुमति देने, सर्टिफ़िकेट ट्रस्ट की जाँच करने और टोकन को हटाने की क्रिया (स्क्रीन सेवर लॉक) की योग्यता शामिल हैं।
नोट : MDM वेंडर स्मार्ट कार्ड पेलोड को लागू करने का फ़ैसला कर सकते हैं। यह जानने के लिए कि यह स्मार्ट कार्ड पेलोड समर्थित है या नहीं, अपने MDM वेंडर के दस्तावेज़ देखें।