Mac में समर्थित स्मार्ट कार्ड के फ़ंक्शन
macOS 10.15 या बाद के संस्करण वाले Mac पर निम्नांकित क्षमताओं के लिए बिल्ट-इन समर्थन शामिल किया गया है :
प्रमाणन : LoginWindow, PKINIT, SSH, Screensaver, Safari, प्रमाणन डायलॉग और CryptoTokenKit का समर्थन करने वाले तृतीय-पक्ष के ऐप
साइन किया जा रहा है : CryptoTokenKit का समर्थन करने वाले मेल और तृतीय-पक्ष ऐप्स
एंक्रिप्शन : CryptoTokenKit का समर्थन करने वाले मेल, कीचेन ऐक्सेस और तृतीय-पक्ष ऐप्स
नोट : यदि आपका संगठन macOS 10.15 से पहले के तृतीय-पक्ष सॉफ़्टवेयर का उपयोग कर रहा है, तो याद रखें कि लेगसी टोकन समर्थन को अक्षम किया जाता है और टोकन किए गए पर आधारित समाधान उपलब्ध नहीं रह जाते।
PIV कार्ड प्रोविज़निंग
macOS के साथ स्मार्ट कार्ड का उपयोग करने के लिए, उपयुक्त सर्टिफ़िकेट को स्लॉट 9a (PIV प्रमाणन) और 9d (की प्रबंधन) में पॉप्युलेट किया जाना चाहिए। यदि ईमेल या दस्तावेज़ पर साइन करने जैसे काम आवश्यक हों, तो वैकल्पिक रूप से, एक सर्टिफ़िकेट को स्लॉट 9c (डिजिटल साइनिंग) में प्रावधान किया जाना चाहिए।
Active Directory के साथ विशेषता मिलान (नीचे विवरण दिया गया) का उपयोग करते समय, PIV प्रमाणन सर्टिफ़िकेट और NT मुख्य नाम और ActiveDirectory विशेषता में संग्रहित dsAttrTypeStandard:AltSecurityIdentities को केस-संवेदनशीलता के साथ मेल खाना चाहिए।
प्रमाणन
स्मार्ट कार्ड का इस्तेमाल टू-फ़ैक्टर प्रमाणन के लिए किया जा सकता है। कार्ड अनलॉक करने के लिए दो फ़ैक्टर शामिल हैं - “समथिंग-यू-हैव” (कार्ड) और “समथिंग-यू-नो” (PIN)। macOS 10.12.4 या उसके बाद के संस्करण वाले Mac में Safari का उपयोग करने वाली वेबसाइट में स्मार्ट कार्ड लॉगइन प्रमाणन और क्लाइंट सर्टिफ़िकेट प्रमाणन के लिए स्थानीय समर्थन शामिल होता है। macOS भी Kerberos द्वारा समर्थित सेवाओं में एकल साइन-ऑन के लिए “की” पेयर (PKINIT) का उपयोग करते हुए Kerberos का समर्थन करता है।
नोट : यदि सिस्टम लॉगइन के लिए इस्तेमाल किया जाता है, तो सुनिश्चित करें कि स्मार्ट कार्ड के लिए सर्टिफ़िकेट प्रमाणन और एंक्रिप्शन करने के लिए “की”, दोनों का सही तरीक़े से प्रावधान किया गया हो। एंक्रिप्शन की का उपयोग कीचेन पासवर्ड को रैप करने के लिए किया जाता है; एंक्रिप्शन की के अभाव के कारण कीचेन संकेत बारबार दिखाई देते हैं।
डिजिटल साइनिंग और एंक्रिप्शन
मेल ऐप में, यूज़र ऐसे संदेश भेज सकता है, जो डिजिटल रूप से साइन और एंक्रिप्ट किए जाते हैं। फ़ीचर का उपयोग करने के लिए डिजिटल साइन और एंक्रिप्शन सर्टिफ़िकेट पर केस-संवेदी ईमेल पता विषय या विषय वैकल्पिक नामों की आवश्यकता होती है जो संगत स्मार्ट कार्ड में संलग्न PIV टोकन पर होते हैं। यदि कोई कॉन्फ़िगर ईमेल अकाउंट किसी डिजिटल साइनिंग या संलग्न PIV टोकन पर एंक्रिप्शन सर्टिफ़िकेट पर ईमेल ऐड्रेस को मैच करता है, तो Mail ऑटोमैटिक रूप से एक नए संदेश टूलबार में ईमेल साइनिंग बटन प्रदर्शित करता है। बंद लॉक आइकॉन दिखाता है कि संदेश को प्राप्तकर्ता की पब्लिक-की के साथ एंक्रिप्टेड रूप में भेजी जाती है।
कीचेन रैपिंग
खाता लॉगइन के लिए एंक्रिप्शन की—जिसे ”की” प्रबंधन की भी कहा जाता है—का होना आवश्यक है, ताकि कीचेन पासवर्ड रैपिंग फ़ीचर काम कर सके। “की प्रबंधन की” की कमी के कारण यूज़र को पूरे लॉगिन सत्र में बार-बार लॉगिन कीचेन पासवर्ड के लिए संकेत किया जाता है, जिससे ख़राब यूज़र अनुभव मिलता है। इसके अतिरिक्त, स्मार्ट कार्ड के अनिवार्य वातावरण में पासवर्ड का यह उपयोग चिंता का विषय हो सकता है। यदि यूज़र के स्मार्ट कार्ड से लॉग इन करने पर “की प्रबंधन की” मौजूद होता है, तो कीचेन का अनुभव पासवर्ड-आधारित लॉगिन के समान होता है, जिसमें यूज़र को लॉगिन कीचेन पासवर्ड के लिए बार-बार संकेत नहीं दिया जाता है।
स्मार्ट कार्ड पेलोड
Apple डेवलपर वेबसाइट पर स्मार्ट कार्ड पेलोड में स्मार्ट कार्ड के मोबाइल डिवाइस प्रबंधन (MDM) के लिए समर्थन जानकारी शामिल होती है। स्मार्ट कार्ड समर्थन में स्मार्ट कार्ड को अनुमति देने, स्मार्ट कार्ड लागू करने, प्रति यूज़र एक स्मार्ट कार्ड पेयरिंग की अनुमति देने, सर्टिफ़िकेट ट्रस्ट की जाँच करने और टोकन को हटाने की क्रिया (स्क्रीन सेवर लॉक) की योग्यता शामिल हैं।
नोट : MDM डेवलपर स्मार्ट कार्ड पेलोड को लागू करने का फ़ैसला कर सकते हैं। यह जानने के लिए कि यह स्मार्ट कार्ड पेलोड समर्थित है या नहीं, अपने MDM डेवलपर के दस्तावेज़ देखें।