Mac में स्मार्ट कार्ड का उपयोग करें
Mac कंप्यूटर पर स्मार्ट कार्ड उपयोग की डिफ़ॉल्ट विधि एक स्मार्ट कार्ड को स्थानीय यूज़र खाते से जोड़ना है; यह विधि ऑटोमैटिकली तब पूरी होती है जब कोई यूज़र अपने कार्ड को कंप्यूटर से जुड़े कार्ड रीडर में डालता है। यूज़र को अपने खाते के साथ कार्ड को “पेयर" करने के लिए कहा जाता है और इस काम को पूरा करने के लिए ऐडमिन ऐक्सेस की आवश्यकता होती है (पेयरिंग जानकारी यूज़र के स्थानीय निर्देशिका खाते में संग्रहित होने के कारण) इस विधि को स्थानीय खाता पेयरिंग कहा जाता है। यदि कोई यूज़र संकेत मिलने के बाद भी अपना कार्ड पेयर नहीं करता है, तो यूज़र फिर भी वेबसाइट ऐक्सेस करने के लिए कार्ड का उपयोग कर सकता है, लेकिन स्मार्ट कार्ड से अपने यूज़र खाते में लॉगिन करने में असमर्थ होता है। स्मार्ट कार्ड का उपयोग डाइरेक्टरी सेवाओं के साथ भी किया जा सकता है। लॉगइन के लिए स्मार्ट कार्ड का उपयोग करना है, तो इसे डाइरेक्टरी सर्विस के साथ काम करने के लिए पेयर या फिर कॉन्फ़िगर किया गया होना चाहिए।
स्थानीय खाता पेयरिंग
नीचे दिए गए चरण स्थानीय खाता पेयरिंग प्रक्रिया का वर्णन करते हैं :
वह PIV स्मार्ट कार्ड या हार्ड टोकन डालें जिसमें प्रमाणन और एंक्रिप्शन पहचान शामिल है।
सूचना डायलॉग पर पेयर करें चुनें।
ऐडमिनिस्ट्रेटर खाते के क्रेडेंशियल (यूज़रनेम/पासवर्ड) प्रदान करें।
शामिल स्मार्ट कार्ड के लिए चार से छह अंकों की व्यक्तिगत पहचान संख्या (PIN) प्रदान करें।
दोबारा लॉगिन करने के लिए लॉग आउट करें और स्मार्ट कार्ड और PIN का उपयोग करें।
स्थानीय खाता पेयरिंग कमांड-लाइन और मौजूदा खाते की मदद से भी संपन्न किया जा सकता है। अधिक जानकारी के लिए केवल-स्मार्ट कार्ड प्रमाणन के लिए Mac को कॉन्फ़िगर करें देखें।
Active Directory के साथ विशेषता मैपिंग करें
स्मार्ट कार्ड Active Directory विरुद्ध विशेषता मैपिंग का उपयोग करते हुए प्रमाणित किए जा सकते हैं। इस विधि में Active Directory से जुड़ा सिस्टम और /private/etc/SmartcardLogin.plist फ़ाइल में सेटिंग की उचित जानकारी शामिल हैं। इस फ़ाइल को सही तरीक़े से फ़ंक्शन करने के लिए इसके पास वर्ल्ड-रीडेबल अनुमति होनी चाहिए। PIV प्रमाणन प्रमाणपत्र में निम्नलिखित फ़ील्ड का उपयोग निर्देशिका खाते में संबंधित मानों से जुड़े विशेषताओं को मैप करने के लिए किया जा सकता है :
सामान्य नाम
RFC 822 नाम (ईमेल पता)
NT मुख्य नाम
संगठन
OrganizationalUnit:1
OrganizationalUnit:2
OrganizationalUnit:3
देश
डाइरेक्टरी में मिलान मान उत्पन्न करने के लिए कई फ़ील्ड को भी संयोजित किया जा सकता है और SmartcardLogin.plist फ़ाइल की उपस्थिति पेयर किए गए स्थानीय खातों से ज़्यादा महत्वपूर्ण होती है।
यूज़र इस फ़ीचर का लाभ उठाए, उससे पहले Mac को उचित ऐट्रिब्यूट मैपिंग से कॉन्फ़िगर करना होगा और स्थानीय पेयरिंग यूज़र इंटरफ़ेस को बंद करना होगा। इस काम को पूरा करने के लिए यूज़र के पास स्थानीय ऐडमिनिस्ट्रेटर अनुमतियाँ होनी चाहिए।
स्थानीय पेयरिंग डायलॉग को बंद करने के लिए, टर्मिनल ऐप खोलें, फिर यह टाइप करें :
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
संकेत मिलने पर यूज़र अपना पासवर्ड दर्ज कर सकता है।
Mac कॉन्फ़िगर होने के तुरंत बाद एक यूज़र खाता बनाने के लिए यूज़र सिर्फ़ एक स्मार्ट कार्ड या टोकन डालता है। उन्हें अपना पिन डालने और स्मार्ट कार्ड में एंक्रिप्शन की द्वारा समेटे गया विशिष्ट कीचेन पासवर्ड बनाने का संकेत दिया जाता है। नेटवर्क यूज़र खातों या मोबाइल यूज़र खातों के लिए खातों को कॉन्फ़िगर कर सकते हैं।
इसके अलावा, मोबाइल खातों के लिए ऑफ़लाइन लॉगइन की अनुमति देने के लिए “लॉगइन पर मोबाइल खाता बनाएँ” प्राथमिकता चुनें। इस मोबाइल यूज़र फ़ीचर को Kerberos विशेषता मैपिंग का समर्थन है और यह Smartcardlogin.plist फ़ाइल में कॉन्फ़िगर किया गया है। यह कॉन्फ़िगरेशन उन परिवेश में भी उपयोगी है जहाँ Mac डाइरेक्टरी सर्वर तक पहुँचने में हमेशा समर्थ नहीं हो सकता। हालाँकि, शुरुआती खाते सेटअप को मशीन बाइंडिंग और डाइरेक्टरी सर्वर के ऐक्सेस की आवश्यकता होती है।
नोट : यदि आप मोबाइल खातों का उपयोग कर रहे हैं, तो पहली बार बनाते समय प्रारंभिक लॉगिन में खाते से संबंधित पासवर्ड का उपयोग करना होगा। यह प्रक्रिया सुनिश्चित करती है कि एक सुरक्षित टोकन प्राप्त किया जाए ताकि आगे के लॉगिन FileVault को अनलॉक कर सकें। प्रारंभिक पासवर्ड-आधारित लॉगिन के बाद, स्मार्ट कार्ड-केवल प्रमाणीकरण का उपयोग किया जा सकता है।
नीचे SmartcardLogin.plist फ़ाइल का उदाहरण दिया गया है, जहाँ मैपिंग PIV प्रमाणन सर्टिफ़िकेट पर NT प्रधान नाम को स्थानीय यूज़र खाते में AltSecurityIdentities विशेषता से मेल खाने के लिए सहसंबंधित करता है :
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:AltSecurityIdentities</string> </dict> </dict></plist>विशेषता मैपिंग के उदाहरण के साथ नेटवर्क यूज़र का खाता
नीचे SmartcardLogin.plist फ़ाइल का एक उदाहरण दिया गया है, जहाँ मैपिंग PIV प्रमाणन सर्टिफ़िकेट पर सामान्य नाम और RFC 822 नाम से संबंध स्थापित करती है, ताकि Active Directory में longName ऐट्रीब्यूट का मिलान किया जा सके :
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>Common Name</string> <string>RFC 822 Name</string> </array> <key>formatString</key> <string>$1</string> <key>dsAttributeString</key> <string>dsAttrTypeNative:longName</string> </dict> </dict></plist>टोकन हटाने पर स्क्रीन सेवर सक्रिय करना
यूज़र द्वारा अपना टोकन हटाए जाने पर स्क्रीन सेवर को ऑटोमैटिकली स्टार्ट करने के लिए स्क्रीनसेवर को कॉन्फ़िगर कर सकते हैं। यह विकल्प केवल एक बार तब दिखाई देता है, जब स्मार्ट कार्ड पेयर किया गया हो। इसे संपन्न करने के दो मुख्य तरीक़े हैं :
Mac पर गोपनीयता और सुरक्षा सेटिंग्ज़ में, एडवांस बटन का उपयोग करें और “लॉगिन टोकन हटा दिए जाने पर स्क्रीनसेवर चालू करें” चुनें। सुनिश्चित करें कि स्क्रीनसेवर की सेटिंग्ज़ कॉन्फ़िगर की गई है, फिर "स्लीप या स्क्रीनसेवर शुरू होते ही तुरंत पासवर्ड की आवश्यकता होती है" चुनें।
डिवाइस प्रबंधन सेवा में
tokenRemovalActionका उपयोग करें।