Підтримувані функції смарт-карток на пристроях Mac
macOS 10.15 або новіша забезпечує вбудовану підтримку таких функцій:
Автентифікація. LoginWindow, PKINIT, SSH, екранний ефект, Safari, діалогові вікна авторизації, а також сторонні програми, які підтримують CryptoTokenKit.
Підписування. Пошта та сторонні програми, які підтримують CryptoTokenKit.
Шифрування. Пошта, Ключар, а також сторонні програми, які підтримують CryptoTokenKit.
Примітка. Зверніть увагу, що якщо в організації використовувалося стороннє програмне забезпечення до запровадження macOS 10.15, то застарілий tokend вимкнено й рішення на основі tokend тепер недоступні.
Надання картки PIV
Щоб використовувати смарт-карти з macOS, необхідно вставити в гніздо 9a (автентифікація PIV) і 9d (керування ключами) відповідні сертифікати. Якщо потрібні такі функції, як електронна пошта або підписування документів, за бажанням у гніздо 9c (цифровий підпис) слід додати сертифікат.
У разі використання відповідності атрибутів (розглянуто нижче) з Active Directory NT Principal Name (Основне імʼя NT) у сертифікаті автентифікації PIV і значення, що зберігається в атрибуті ActiveDirectory dsAttrTypeStandard:AltSecurityIdentities, мають збігатися з урахуванням регістру.
Автентифікація
Смарт-картки можна використовувати для двофакторної автентифікації. До її складу входять такі фактори, як «те, що у вас є» (картка) і «те, що ви знаєте» (PIN-код). Система macOS 10.12.4 та новіші версії забезпечують первинну підтримку автентифікації за допомогою смарт-карток й імені користувача, а також автентифікацію на основі клієнтського сертифіката на вебсайтах у Safari. Система macOS також підтримує автентифікацію Kerberos за допомогою пар ключів (PKINIT) для єдиного входу в служби з підтримкою Kerberos.
Примітка. Якщо смарт-картка використовується для входу в систему, переконайтеся, що їй дозволено використовувати сертифікати та ключ шифрування (KMK). Ключ шифрування використовується для ізолювання ключа в’язки, а відсутність ключа шифрування призводить до повторення запитів в’язки.
Цифрові підписи та шифрування
У програмі «Пошта» користувач може надсилати зашифровані повідомлення з цифровим підписом. Для цього потрібно зазначати електронну адресу об’єкта з урахуванням регістру або альтернативні назви об’єкта в цифровому підписі та сертифікатах шифрування у вкладених токенах PIV сумісних смарт-карток. Якщо конфігурований обліковий запис пошти збігається з електронною адресою на цифровому підписі або в сертифікаті шифрування на вкладеному токені PIV, програма «Пошта» автоматично показує кнопку підписування електронного листа на панелі створення листа. Іконка замкненого замка означає, що повідомлення надіслано зашифрованим із відкритим ключем отримувача.
Ізолювання в’язки
Щоб функція ізолювання пароля в’язки спрацьовувала під час входу в обліковий запис, потрібен ключ шифрування, альтернативна назва якого ключ керування ключами. Відсутність ключа керування ключами призводить до того, що протягом сеансу входу в користувача неодноразово запитується пароль в’язки, що спричиняє незручності. Крім того, таке використання пароля може спричиняти проблеми в обов’язкових середовищах смарт-карток. Якщо під час входу користувача за допомогою смарт-картки присутній ключ керування ключами, використання в’язки подібне до входу за допомогою пароля, оскільки користувачеві не пропонується повторно вводити пароль для входу в систему.
Набір даних Smart Card (Смарт-картка)
Набір даних Smart Card на вебсайті розробників Apple містить інформацію про керування мобільними пристроями (MDM) для смарт-карток. Під підтримкою смарт-карток ми розуміємо можливість дозволяти смарт-картки, примусово забезпечувати їх використання, дозволяти спарювання однієї смарт-картки на користувача, перевіряти довіру до сертифіката, а також вилучати токен (блокування екранним ефектом).
Примітка. Постачальники MDM можуть застосувати набори даних Smart Card (Смарт-картка). Щоб дізнатися, чи підтримується набір даних Smart Card (Смарт-картка), див. документацію постачальника MDM.