Funkcje kart inteligentnych obsługiwane na komputerach Mac
macOS 10.15 lub nowszy zawiera wbudowaną obsługę następujących funkcji:
Uwierzytelnianie: Okno logowania, PKINIT, SSH, wygaszacz ekranu, Safari, okna dialogowe uwierzytelniania oraz aplikacje innych firm obsługujące CryptoTokenKit
Podpisywanie: Poczta oraz aplikacje innych firm obsługujące CryptoTokenKit
Szyfrowanie: Poczta, Dostęp do pęku kluczy oraz aplikacje innych firm obsługujące CryptoTokenKit
Uwaga: Jeśli Twoja organizacja korzysta z oprogramowania innych firm w wersji wcześniejszej niż macOS 10.15, pamiętaj, że obsługa starszych tokenów została wyłączona, a rozwiązania oparte na tokenach nie są już dostępne.
Poświadczanie kart PIV
Aby korzystać z kart inteligentnych w systemie macOS, odpowiednie certyfikaty muszą być wypełnione w gnieździe 9a (uwierzytelnianie PIV) i 9d (zarządzanie kluczami). Opcjonalnie certyfikat należy umieścić w gnieździe 9c (podpisywanie cyfrowe), jeśli potrzebne są funkcje takie jak e-mail lub podpisywanie dokumentów.
W przypadku korzystania z dopasowywania atrybutów (omówione poniżej) w usłudze Active Directory, nazwa główna NT w certyfikacie uwierzytelniania PIV i wartość przechowywana w atrybucie dsAttrTypeStandard:AltSecurityIdentities usługi ActiveDirectory muszą być zgodne, uwzględniając wielkości liter.
Uwierzytelnianie
Karty inteligentne mogą być używane do uwierzytelniania dwupoziomowego (zwanego także uwierzytelnianiem dwuczynnikowym). Dwa poziomy uwierzytelniania wymagają do odblokowania karty „czegoś, co masz” (karty) oraz „czegoś, co wiesz” (kodu PIN). System macOS 10.12.4 lub nowszy oferuje natywną obsługę logowania przy użyciu karty inteligentnej oraz uwierzytelniania certyfikatów klienta w witrynach odwiedzanych przy użyciu Safari. System macOS obsługuje również uwierzytelnianie przy użyciu protokołu Kerberos z wykorzystaniem par kluczy (PKINIT), pozwalające na logowanie jednokrotne w usługach obsługujących protokół Kerberos.
Uwaga: Jeśli karta inteligentna ma być używana do logowania w systemie, upewnij się, że zawiera ona zarówno certyfikat uwierzytelniania, jak i klucz szyfrowania. Klucz szyfrowania używany jest do opakowywania hasła pęku kluczy. Brak klucza szyfrowania powoduje wielokrotne wyświetlanie pytania o hasło dostępu do pęku kluczy.
Podpisywanie cyfrowe i szyfrowanie
Aplikacja Poczta pozwala użytkownikowi na wysyłanie wiadomości podpisanych cyfrowo i zaszyfrowanych. Korzystanie z tej funkcji wymaga obecności nazw podmiotów lub alternatywnych nazw podmiotów (z rozróżnieniem wielkości liter) na certyfikatach podpisu cyfrowego lub certyfikatach szyfrowania, przechowywanych w podłączonych tokenach PIV z obsługiwanych kart inteligentnych. Jeśli skonfigurowane konto email jest zgodne z adresem email na certyfikacie podpisu cyfrowego lub certyfikacie szyfrowania zawartym w podłączonym tokenie PIV, Poczta automatycznie wyświetla przycisk podpisywania wiadomości email na pasku narzędzi w oknie nowej wiadomości. Ikona zamkniętej kłódki oznacza, że wiadomość zostanie wysłana w postaci zaszyfrowanej przy użyciu klucza publicznego danego odbiorcy.
Opakowywanie pęku kluczy
Funkcja opakowywania haseł w pęku kluczy (keychain wrapping) podczas logowania na koncie wymaga obecności klucza KMK (key management key). Brak KMK powoduje, że użytkownik jest wielokrotnie proszony o podanie hasła pęku kluczy logowania przez całą sesję logowania, co utrudnia korzystanie z urządzenia. Ponadto takie użycie hasła może stanowić problem w środowiskach, w których obowiązują karty inteligentne. Jeśli KMK jest obecny, gdy użytkownik loguje się za pomocą karty inteligentnej, działanie pęku kluczy jest podobne do logowania opartego na haśle, ponieważ użytkownik nie otrzymuje wielokrotnej prośby o podanie hasła pęku kluczy logowania.
Pakiet danych Smart Card
Dokument Smart Card payload w witrynie Apple dla deweloperów zawiera informacje dotyczące obsługi kart inteligentnych w rozwiązaniach MDM. Obsługa kart inteligentnych obejmuje możliwość dopuszczania korzystania z kart inteligentnych, wymuszania korzystania z kart inteligentnych, pozwalania każdemu użytkownikowi na połączenie w parę tylko jednej karty inteligentnej, sprawdzania zaufania certyfikatów oraz wykonywania czynności po usunięciu tokena (blokada ekranu).
Uwaga: Dostawcy rozwiązań MDM mogą zdecydować się na wdrożenie pakietów danych kart inteligentnych. Aby dowiedzieć się, czy pakiet danych karty inteligentnej jest obsługiwany, zapoznaj się z dokumentacją dostawcy rozwiązania MDM.