सुरक्षित टोकन, बूटस्ट्रैप टोकन और डिप्लॉयमेंट में वॉल्यूम ओनरशिप का उपयोग करना
सुरक्षित टोकन
macOS 10.13 या बाद के संस्करण वाले Mac पर Apple File System (APFS) इस आधार पर बदलता है कि FileVault एंक्रिप्शन कीज़ कैसे जनरेट की गई हैं। CoreStorage वॉल्यूम पर macOS के पिछले संस्करणों में, FileVault एंक्रिप्शन प्रक्रिया में इस्तेमाल होने वाली “कीज़” तब बनाई जाती थी, जब कोई यूज़र या संगठन Mac पर FileVault को चालू करता था। APFS वॉल्यूम वाले Mac कंप्यूटरों के लिए यूज़र बनाते समय, पहले यूज़र का पासवर्ड सेट करते समय या Mac यूज़र द्वारा पहले लॉगइन के दौरान एंक्रिप्शन-कीज़ जनरेट की जाती हैं। एंक्रिप्शन कीज़ को बनाने के दौरान उनके कार्यान्वयन और संग्रहण का तरीक़ा सुरक्षित टोकन नाम के फ़ीचर का हिस्सा है। विशेषकर, सुरक्षित टोकन “की एंक्रिप्शन की” (KEK) का रैप किया गया संस्करण होता है जो यूज़र के पासवर्ड से सुरक्षित रहता है।
APFS पर FileVault को डिप्लॉय करने के दौरान, यूज़र ये जारी रख सकते हैं :
उन निजी “रिकवरी की” (PRK) जैसे मौजूदा टूल और प्रक्रियाओं का उपयोग करें, जिन्हें आप एस्क्रो के लिए डिवाइस प्रबंधन सेवा के साथ संग्रहित कर सकते हैं
एक इंस्टिट्यूशनल रिकवरी-की (IRK) बनाएँ और उसका इस्तेमाल करें
FileVault का एनैबलमेंट तब तक विलंबित रखें जब तक यूज़र Mac में लॉगिन होता है या बाहर निकल जाता है
macOS 11 या बाद के संस्करणों वाले Mac के लिए Mac पर सबसे पहले यूज़र के लिए पहला पासवर्ड सेट करने से उस यूज़र को सुरक्षित टोकन प्राप्त होता है। कुछ ऐसे वर्कफ़्लो में जिनका व्यवहार वांछित नहीं है, उनमें पिछली बार की तरह पहला सुरक्षित टोकन देने से यूज़र खाते को लॉगइन करने की आवश्यकता पड़ती। ऐसा होने से रोकने के लिए नीचे दिए गए तरीक़े के अनुसार यूज़र का पासवर्ड सेट करने से पहले प्रोग्राम द्वारा बनाई गई यूज़र की AuthenticationAuthority ऐट्रिब्यूट में ;DisabledTags;SecureToken जोड़ें :
sudo dscl . -append /Users/<user name> AuthenticationAuthority ";DisabledTags;SecureToken"Bootstrap टोकन
macOS 10.15 या बाद के संस्करणों वाले Mac के लिए, आप बूटस्ट्रैप टोकन का उपयोग मौजूदा यूज़र खातों को सुरक्षित टोकन प्रदान करने के अलावा और भी कार्यों के लिए कर सकते हैं। Apple silicon वाले Mac कंप्यूटर पर—अगर उपलब्ध है और जब डिवाइस प्रबंधन सेवा का इस्तेमाल करके प्रबंधित किया जाता है—तो आप बूटस्ट्रैप टोकन का इस्तेमाल निम्न के लिए कर सकते हैं :
पर्यवेक्षण
डिवाइस प्रबंधन सेवा के लिए डेवलपर समर्थन
macOS 10.15.4 या बाद के संस्करण वाले Mac के लिए, जब कोई सुरक्षित टोकन से सक्षम यूज़र पहली बार लॉगइन करता है, तो macOS एक बूटस्ट्रैप टोकन जनरेट करता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है। अगर आवश्यक हो, तो आप प्रोफ़ाइल कमांड-लाइन टूल का उपयोग करके बूटस्ट्रैप टोकन भी जनरेट कर सकते हैं और उसे किसी सेवा में एस्क्रो कर सकते हैं।
macOS 11 या बाद के संस्करणों वाले Mac के लिए, आप बूटस्ट्रैप टोकन का उपयोग मौजूदा यूज़र खातों को सुरक्षित टोकन प्रदान करने के अलावा और भी कार्यों के लिए कर सकते हैं। Apple silicon वाले Mac कंप्यूटर पर—अगर उपलब्ध है और जब डिवाइस प्रबंधन सेवा का इस्तेमाल करके प्रबंधित किया जाता है—तो आप बूटस्ट्रैप टोकन का इस्तेमाल इनके लिए कर सकते हैं :
सॉफ़्टवेयर अपडेट के इंस्टॉलेशन को अधिकृत करना।
“सभी कॉन्टेंट और सेटिंग्ज़ को मिटाएँ” डिवाइस प्रबंधन सेवा कमांड (macOS 12.0.1 या बाद के संस्करण) मौन रूप से अधिकृत करें।
नए यूज़र बनाएँ जब वे प्लैटफ़ॉर्म SSO (macOS 13 या बाद के संस्करण) के साथ पहली बार लॉगइन करते हैं।
वॉल्यूम ओनरशिप
Apple silicon वाले Mac कंप्यूटर ने वॉल्यूम ओनरशिप की परिकल्पना पेश की है। संगठनात्मक संदर्भ की वॉल्यूम ओनरशिप Mac की कस्टडी की असली क़ानूनी ओनरशिप या शृंखला से आबद्ध नहीं है। वॉल्यूम ओनरशिप को सामान्य रूप से उस यूज़र के रूप में परिभाषित किया जाता है जिसने सबसे पहले किसी दूसरे यूज़र के साथ अपने ख़ुद के उपयोग के लिए Mac को कॉन्फ़िगर करके उसकी माँग की थी। वॉल्यूम का ओनर होना ज़रूरी है ताकि macOS में किसी विशिष्ट इंस्टॉल के लिए स्टार्टअप सुरक्षा नीति में बदलाव किए जाएँ, macOS सॉफ़्टवेयर अपडेट और अपग्रेड में इंस्टॉलेशन को अधिकृत किया जाए, “Mac पर सभी कॉन्टेंट और सेटिंग्ज़ को मिटाएँ” को शुरू किया जाए आदि। स्टार्टअप सुरक्षा नीति उन प्रतिबंधों को परिभाषित करती है जिसके आधार पर macOS के संस्करण बूट किए जा सकते हैं और साथ ही कैसे किए जा सकते हैं और तब कैसे किए जा सकते हैं जब तृतीय-पक्ष के kernel एक्सटेंशन लोड या प्रबंधित किए जा सकते हैं।
जिस यूज़र ने अपने उपयोग के लिए Mac को कॉन्फ़िगर करके सबसे पहले उसकी माँग की थी, उसे Apple silicon वाले Mac पर सुरक्षित टोकन प्रदान किया जाता है और वह पहला वॉल्यूम ओनर बनता है। जब बूटस्ट्रैप टोकन उपलब्ध होता है और इस्तेमाल में होता है, तो वह वॉल्यूम ओनर भी बनता है और फिर वॉल्यूम ओनरशिप स्थितियों को अतिरिक्त खातों में प्रदान करता है क्योंकि वह उन्हें सुरक्षित टोकन प्रदान करता है। क्योंकि दोनों पहले यूज़र को सुरक्षित टोकन प्रदान किया जाना है और बूटस्ट्रैप टोकन वॉल्यूम ओनर हो जाता है साथ ही साथ, अतिरिक्त यूज़र (और इस तरह वॉल्यूम ओनरशिप स्थितियाँ भी) को सुरक्षित टोकन प्रदान करने के लिए बूटस्ट्रैप टोकन की योग्यता, वॉल्यूम ओनरशिप कुछ ऐसी नहीं होनी चाहिए जो किसी संगठन में सक्रिय रूप से प्रबंधित या उपयोग में लाई जानी आवश्यक हो। सुरक्षित टोकन प्रबंधित करने और प्रदान करने के लिए पिछली विवेचनाएँ आम तौर पर वॉल्यूम ओनरशिप से भी अलाइन होनी चाहिए।
ऐडमिनिस्ट्रेटर न होते हुए वॉल्यूम ओनर बनना संभव है, लेकिन कुछ ख़ास कार्यों के लिए दोनों की ओनरशिप आवश्यक है। उदाहरण के लिए, स्टार्टअप सुरक्षा सेटिंग्ज़ को संशोधित करने के लिए ऐडमिनिस्ट्रेटर और वॉल्यूम ओनर दोनों होना ज़रूरी है, जबकि सॉफ़्टवेयर अपडेट को अधिकृत करने का काम मानक यूज़र द्वारा किया जाता है और केवल ओनरशिप ज़रूरी है।
Apple silicon वाले Mac कंप्यूटर पर वॉल्यूम ओनर की वर्तमान सूची देखने के लिए, आप नीचे दिए गए कमांड रन कर सकते हैं :
sudo diskutil apfs listUsers /“स्थानीय ओपन डाइरेक्टरी यूज़र” प्रकार के diskutil कमांड आउटपुट में सूचीबद्ध GUID ओपन डाइरेक्टरी में यूज़र की GeneratedUID विशेषताओं में मैप बैक करती है। GeneratedUID के माध्यम से यूज़र ढूँढने के लिए, नीचे दिए गए कमांड का उपयोग करें :
dscl . -search /Users GeneratedUID <GUID>आप यूज़रनेम और GUID को एक साथ देखने के लिए निम्नलिखित कमांड का इस्तेमाल कर सकते हैं :
sudo fdesetup list -extendedओनरशिप को Secure Enclave में सुरक्षित क्रिप्टोग्राफ़ी का समर्थन मिलता है। अधिक जानकारी के लिए, देखें :
कमांड-लाइन टूल का उपयोग
बूटस्ट्रैप टोकन और सुरक्षित टोकन को प्रबंधित करने के लिए कमांड-लाइन टूल उपलब्ध हैं। आम तौर पर, macOS बूटस्ट्रैप टोकन जनरेट करता है और macOS सेटअप प्रक्रिया के दौरान डिवाइस प्रबंधन सेवा को एस्क्रो करता है। ऐसा तब होता है जब सेवा द्वारा सूचना मिलती है कि Mac इस फ़ीचर का समर्थन करता है। हालाँकि, आप डिप्लॉय किए गए Mac पर बूटस्ट्रेप टोकन भी जनरेट कर सकते हैं। macOS 10.15.4 या बाद के संस्करण वाले Mac के लिए, macOS सुरक्षित टोकन पाने में सक्षम किसी भी यूज़र (यदि सेवा इस फ़ीचर का समर्थन करती है) द्वारा पहली बार लॉगइन करने पर सेवा के लिए बूटस्ट्रैप टोकन को जनरेट और एस्क्रो करता है। बूटस्ट्रैप टोकन बनाने और उसे सेवा को एस्क्रो करने के लिए डिवाइस सेटअप करने के बाद यह प्रोफ़ाइल कमांड-लाइन टूल के उपयोग की आवश्यकता को कम करता है।
बूटस्ट्रैप टोकन के साथ इंटऐक्ट करने के लिए प्रोफ़ाइल कमांड-लाइन टूल में कई विकल्प मौजूद हैं :
sudo profiles install -type bootstraptoken: यह कमांड नया बूटस्ट्रैप टोकन बनाता है और उसे डिवाइस प्रबंधन सेवा में एस्क्रो करता है। इस कमांड को बूटस्ट्रैप टोकन को शुरू में जनरेट करने के लिए मौजूदा सुरक्षित टोकन ऐडमिनिस्ट्रेटर जानकारी की आवश्यकता होती है और सेवा से फ़ीचर का समर्थन मिलना ज़रूरी है।sudo profiles remove -type bootstraptoken: मौजूदा बूटस्ट्रैप टोकन को Mac और डिवाइस प्रबंधन सेवा से हटाता है।sudo profiles status -type bootstraptoken: यह रिपोर्ट प्रदान करता है कि डिवाइस प्रबंधन सेवा bootstrap टोकन का समर्थन करता है या नहीं और Mac पर bootstrap टोकन की मौजूदा स्थिति क्या है।sudo profiles validate -type bootstraptoken: यह रिपोर्ट प्रदान करता है कि डिवाइस प्रबंधन सेवा bootstrap टोकन का समर्थन करता है या नहीं और Mac पर bootstrap टोकन की मौजूदा स्थिति क्या है।
sysadminctl कमांड-लाइन टूल
Mac कंप्यूटर पर यूज़र खाते के लिए सुरक्षित टोकन की स्थिति को विशेष रूप से संशोधित करने हेतु sysadminctl कमांड-लाइन टूल का उपयोग किया जा सकता है। यह पूरी सावधानी से और तभी करना होगा जब इसकी आवश्यकता हो। sysadminctl का उपयोग करके किसी यूज़र की सुरक्षित टोकन स्थिति बदलने के लिए हमेशा किसी मौजूदा सुरक्षित टोकन से सक्षम ऐडमिनिस्ट्रेटर के यूज़रनेम और पासवर्ड की आवश्यकता या तो इंटरऐक्टिव रूप से या फिर कमांड पर उचित ध्वजों के ज़रिए होती है। sysadminctl और सिस्टम सेटिंग्ज़ (macOS 13 या बाद के संस्करण) या सिस्टम प्राथमिकता (macOS 12.0.1 या इसके पहले के संस्करण) दोनों ही Mac पर पिछले ऐडमिनिस्ट्रेटर या सुरक्षित टोकन से सक्षम यूज़र को हटाए जाने से रोकते हैं। यदि sysadminctl का उपयोग करके अतिरिक्त स्थानीय यूज़र का निर्माण स्क्रिप्ट किया गया है, तो उन यूज़र को सुरक्षित टोकन के लिए सक्षम करने हेतु वर्तमान सुरक्षित टोकन से सक्षम ऐडमिनिस्ट्रेटर के क्रेडेंशियल की आपूर्ति करना आवश्यक है। इसके लिए या तो इंटरऐक्टिव विकल्प का उपयोग करना होगा या सीधे -adminUser और -adminPassword के साथ sysadminctl को फ़्लैग करना होगा।
macOS 11 या बाद के संस्करण वाले Mac के लिए, यदि macOS निर्माण के दौरान सुरक्षित टोकन प्रदान नहीं करता है और यदि डिवाइस प्रबंधन सेवा की ओर से बूटस्ट्रैप टोकन उपलब्ध है, तो यह स्थानीय यूज़र को लॉगइन करने पर सुरक्षित टोकन प्रदान करता है। अतिरिक्त उपयोग निर्देशों के लिए sysadminctl -h का उपयोग करें।