Apple डिवाइस के साथ Kerberos सिंगल साइन-ऑन एक्सटेंशन
Kerberos सिंगल साइन-ऑन (Kerberos SSO) एक्सटेंशन आपके संगठन की ऑन-प्रिमाइस Active Directory या अन्य पहचान प्रदाता डोमेन से Kerberos टिकट-ग्रांटिंग-टिकट (TGT) प्राप्त करने की प्रक्रिया आसान बनती है, जिससे यूज़र को वेबसाइट, ऐप्स और फ़ाइल सर्वर जैसे संसाधनों पर निर्बाध रूप से प्रमाणित करने में मदद मिलती है।
Kerberos SSO एक्सटेंशन उपयोग करने की आवश्यकताएँ
Kerberos SSO एक्सटेंशन का उपयोग करने के लिए आपके पास निम्नलिखित होना चाहिए :
मोबाइल डिवाइस प्रबंधन (MDM) समाधान के साथ प्रबंधित डिवाइस, जिसमें एक्सटेंसिबल सिंगल साइन-ऑन (SSO) कॉन्फ़िगरेशन प्रोफ़ाइल पेलोड के लिए समर्थन है।
उस नेटवर्क का ऐक्सेस प्राप्त करें जहाँ ऑन-प्रिमाइस Active Directory डोमेन होस्ट किया गया है। यह नेटवर्क ऐक्सेस वाई-फ़ाई, ईथरनेट या VPN के ज़रिए हो सकता है।
Active Directory डोमेन Windows Server 2008 या उसके बाद के संस्करण का उपयोग कर रहा है। Kerberos SSO एक्सटेंशन Microsoft Entra ID के साथ उपयोग के लिए नहीं है, जिसके लिए पारंपरिक ऑन-प्रिमाइसेस सक्रिय डाइरेक्टरी डोमेन की ज़रूरत होती है।
iOS, iPadOS और visionOS 1.1 में ऐप एक्सटेंशन
HTTP 401 नैगोशिएट चुनौती प्राप्त करने के बाद ही iOS, iPadOS और visionOS 1.1 में Kerberos SSO एक्सटेंशन को सक्रिय किया जाता है। बैटरी सेव करने के लिए, यह एक्सटेंशन Active Directory साइट कोड के लिए अनुरोध नहीं करता है या Kerberos TGT को रीफ़्रेश नहीं करता है।
iOS, iPadOS और visionOS 1.1 के लिए Kerberos SSO एक्सटेंशन फ़ीचर में निम्नलिखित शामिल हैं :
ऑथेंटिकेशन विधियाँ : एकाधिक अलग-अलग प्रमाणन विधियों के लिए समर्थन जोड़ता है जिनमें पासवर्ड और सर्टिफ़िकेट पहचान (PKINIT) शामिल हैं। CryptoTokenKit स्मार्ट कार्ड पर, MDM द्वारा आपूर्ति की गई पहचान पर या स्थानीय कीचेन पर सर्टिफ़िकेट पहचान हो सकती है। प्रमाणन डायलॉग दिखाई देने पर या एक अलग वेबसाइट के URL का उपयोग करने पर Active Directory पासवर्ड के बदले जाने का समर्थन भी एक्सटेंशन करता है।
पासवर्ड समय सीमा समाप्त : प्रमाणित करने के तुरंत बाद, पासवर्ड बदलने के बाद और दिन में समय-समय पर पासवर्ड समाप्ति-तिथि की जानकारी के लिए डोमेन से अनुरोध करता है। इस जानकारी का उपयोग पासवर्ड समय-सीमा सूचनाएँ प्रदान करने और यूज़र द्वारा दूसरे डिवाइस पर उनका पासवर्ड बदला जाने की स्थिति में नए क्रेडेंशियल के लिए अनुरोेध करने हेतु किया जाता है।
VPN समर्थन : कई अलग-अलग नेटवर्क कॉन्फ़िगरेशन का समर्थन करता है, जिनमें प्रति ऐप VPN जैसी विभिन्न VPN टेक्नोलॉजी शामिल हैं। यदि प्रति ऐप VPN का उपयोग किया गया है, तो Kerberos SSO एक्सटेंशन प्रति ऐप VPN का उपयोग केवल तभी करता है जब उसका उपयोग करने के लिए अनुरोध कर रहे ऐप या वेबसाइट को कॉन्फ़िगर किया गया हो।
डोमेन अभिगम्यता : डोमेन के वर्तमान कनेक्शन के लिए Active Directory साइट कोड के लिए अनुरोध करने हेतु और फिर उसे कैश करने हेतु डोमेन के LDAP ping का उपयोग करें। अन्य प्रक्रियाओं के लिए यह साइट कोड को Kerberos अनुरोधों के साथ शेयर करता है और यह ऐसा बैटरी लाइफ़ को बचाने के लिए करता है। अधिक जानकारी के लिए Microsoft दस्तावेज़ 6.3.3 LDAP Ping देखें।
निगोशिएशन चुनौतियाँ : वेबसाइट, NSURLSession अनुरोधों और बैकग्राउंड NSURLSession कार्यों के लिए HTTP 401 निगोशिएट चुनौतियों को हैंडल करता है।
macOS में एक्सटेंशन
macOS में, Kerberos SSO एक्सटेंशन नेटवर्क स्थिति परिवर्तनों पर पूरी सक्रियता से Kerberos TGT प्राप्त करता है, ताकि यह सुनिश्चित किया जा सके कि यूज़र आवश्यकता पड़ने पर प्रमाणित करने के लिए तैयार है। Kerberos SSO एक्सटेंशन आपके यूज़र को उनके Active Directory खातों को प्रबंधित करने में भी मदद करता है। इसके अतिरिक्त, यह यूज़र को अपने Active Directory पासवर्ड बदलने की अनुमति देता है और पासवर्ड दर्ज करने की तिथि समाप्त होने से पहले उन्हें इसकी सूचना देता है। यूज़र अपने Active Directory पासवर्ड से मिलान करने के लिए अपने स्थानीय खातों के पासवर्ड भी बदल सकते हैं।
Kerberos SSO एक्सटेंशन का उपयोग किसी ऑन-प्रॉमिस Active Directory डोमेन के साथ किया जाना चाहिए। Kerberos SSO एक्सटेंशन का उपयोग करने के लिए डिवाइस को Active Directory डोमेन से जुड़े होने की आवश्यकता नहीं। इसके अतिरिक्त, यूज़र को Active Directory या मोबाइल खातों से अपने Mac कंप्यूटर में लॉग इन करने की आवश्यकता नहीं है, इसके बजाए Apple स्थानीय खातों के उपयोग की अनुशंसा करता है।
यूज़र को Kerberos SSO एक्सटेंशन को प्रमाणित करना चाहिए। वे निम्नलिखित में से किसी भी एक तरीक़े से यह प्रक्रिया शुरू कर सकते हैं :
यदि Mac ऐसे नेटवर्क से कनेक्ट किया गया है जहाँ Active Directory डोमेन उपलब्ध है, तो एक्सटेंसिबल SSO कॉन्फ़िगरेशन प्रोफ़ाइल इंस्टॉल होने के तुरंत बाद यूज़र को प्रमाणित करने का संकेत दिया जाता है।
यदि प्रोफ़ाइल पहले ही इंस्टॉल किया हुआ है, तो जब भी Mac ऐसे नेटवर्क से कनेक्टेड हो जहाँ Active Directory डोमेन उपलब्ध है, तो यूज़र को प्रमाणित करने के लिए संकेत तुरंत दिया जाता है।
यदि Safari या किसी अन्य ऐप का उपयोग किसी ऐसी वेबसाइट को ऐक्सेस करने के लिए किया जाता है जो Kerberos प्रमाणन को स्वीकारती है या जिसे उसकी आवश्यकता होती है, तो यूज़र को प्रमाणित करने का संकेत दिया जाता है।
यूज़र Kerberos SSO एक्सटेंशन मेनू अतिरिक्त चुन सकता है, फिर “साइन इन” पर क्लिक कर सकता है।
macOS के लिए Kerberos SSO एक्सटेंशन फ़ीचर में निम्नलिखित शामिल हैं :
ऑथेंटिकेशन विधियाँ : एक्सटेंशन एकाधिक अलग-अलग प्रमाणन विधियों का समर्थन करता है जिनमें पासवर्ड और सर्टिफ़िकेट पहचान (PKINIT) शामिल हैं। CryptoTokenKit स्मार्ट कार्ड पर, MDM द्वारा आपूर्ति की गई पहचान पर या स्थानीय कीचेन पर सर्टिफ़िकेट पहचान हो सकती है। प्रमाणन डायलॉग दिखाई देने पर या एक अलग वेबसाइट के URL का उपयोग करने पर AD पासवर्ड के बदले जाने का समर्थन भी एक्सटेंशन करता है।
पासवर्ड समय सीमा समाप्त : प्रमाणित करने के तुरंत बाद, पासवर्ड बदलने के बाद और दिन में समय-समय पर पासवर्ड समाप्ति-तिथि की जानकारी के लिए एक्सटेंशन डोमेन से अनुरोध करता है। इस जानकारी का उपयोग पासवर्ड समय-सीमा सूचनाएँ प्रदान करने और यूज़र द्वारा दूसरे डिवाइस पर उनका पासवर्ड बदला जाने की स्थिति में नए क्रेडेंशियल के लिए अनुरोेध करने हेतु किया जाता है।
VPN समर्थन : एक्सटेंशन कई अलग-अलग नेटवर्क कॉन्फ़िगरेशन का समर्थन करता है जिनमें VPN सेवाएँ जैसे प्रति ऐप VPN शामिल हैं। यदि VPN एक नेटवर्क एक्सटेंशन VPN है, तो यह पासवर्ड को प्रमाणित या बदलते हुए कनेक्शन को ऑटोमैटिकली चालू करता है। इसके विपरीत, यदि कनेक्शन प्रति ऐप VPN है, तो Kerberos SSO एक्सटेंशन मेनू अतिरिक्त हमेशा यही दिखाता है कि नेटवर्क उपलब्ध है। ऐसा इसलिए क्योंकि यह कॉर्पोरेट नेटवर्क उपलब्धता को निश्चित करने के लिए LDAP पिंग का उपयोग करता है। जब प्रति ऐप VPN डिस्कनेक्ट होता है, तो LDAP पिंग इसे फिर से कनेक्ट करता है जिसका परिणाम सतत प्रति ऐप VPN कनेक्शन के रूप में प्रतीत होता है। वास्तव में, Kerberos SSO एक्सटेंशन को माँग पर Kerberos ट्रैफ़िक के लिए चालू किया गया है।
प्रति ऐप VPN के साथ Kerberos SSO एक्सटेंशन का उपयोग करने के लिए अपने ऐप टू ऐप लेयर VPN मैपिंग में निम्नलिखित एंट्री जोड़ें :
com.apple.KerberosExtension निर्दिष्ट आवश्यकता आइडेंटिफ़ायर com.apple.KerberosExtension और एंकर apple का उपयोग कर रहा है
com.apple.AppSSOAgent निर्दिष्ट आवश्यकता आइडेंटिफ़ायर का उपयोग कर रहा है com.apple.AppSSOAgent और एंकर apple
com.apple.KerberosMenuExtra निर्दिष्ट आवश्यकता का उपयोग कर रहा है : identifier com.apple.KerberosMenuExtra और एंकर apple
डोमेन अभिगम्यता : एक्सटेंशन अनुरोध, फिर कैश करने हेतु डोमेन के LDAP पिंग, डोमेन के वर्तमान नेटवर्क कनेक्शन के लिए AD साइट कोड का उपयोग करता है। बैटरी लाइफ़ बचाने के लिए यह ऐसा करता है। यह अन्य प्रक्रियाओं के लिए Kerberos अनुरोधों के साथ साइट कोड भी शेयर करता है। अधिक जानकारी के लिए Microsoft दस्तावेज़ 6.3.3 LDAP Ping देखें।
Kerberos TGT रीफ़्रेश : एक्सटेंशन आपके Kerberos TGT को हमेशा ताज़ा रखने का प्रयास करता है। नेटवर्क कनेक्शन को मॉनिटर करके यह ऐसा करता है और Kerberos कैश बदल जाता है। जब आपका कॉर्पोरेट नेटवर्क उपलब्ध हो और नए टिकट की आवश्यकता हो, तो वह अधिक सक्रियता से नए टिकट के लिए अनुरोेध करता है। यदि यूज़र ऑटोमैटिकली साइन इन करने का चुनाव करता है, तो यूज़र के पासवर्ड की समाप्ति-तिथि समाप्त होने तक एक्सटेंशन नए टिकट के लिए निर्बाध रूप से अनुरोध करता है। यदि यूज़र ऑटोमैटिकली साइन इन करने का विकल्प नहीं चुनते हैं, तो यूज़र को Kerberos क्रेडेंशियल दर्ज करने का समय समाप्त होने पर—आम तौर पर 10 घंटे बाद उन्हें क्रेडेंशियल दर्ज करने का संकेत दिया जाता है।
पासवर्ड सिंक : एक्सटेंशन स्थानीय खाते के पासवर्ड को Active Directory पासवर्ड के साथ सिंक करता है। आरंभिक सिंक के बाद वह स्थानीय और Active Directory खाता पासवर्ड में बदलाव करने की तिथियों को मॉनिटर करता है और यह निर्धारित करता है कि खाता पासवर्ड अभी भी सिंक में हैं या नहीं। कई अधिक विफल प्रयासों के कारण स्थानीय या AD खातेको लॉक आउट करने से रोकने के लिए यह लॉगइन के लिए प्रयास करने के बजाय तिथियों का उपयोग करता है।
स्क्रिप्ट रन करें : विभिन्न इवेंट घटित होने पर एक्सटेंशन सूचनाओं को पोस्ट करता है। फ़ंक्शनलिटी के विस्तार को समर्थित करने के लिए ये सूचनाएँ स्क्रिप्ट को एक्ज़ेक्यूट होने के लिए ट्रिगर कर सकती हैं। स्क्रिप्ट को सीधे एक्ज़ेक्यूट करने के बजाय सूचनाएँ भेजी जाती हैं क्योंकि Kerberos एक्सटेंशन प्रक्रियाएँ सैंडबॉक्स की जाती हैं ओर सैंडबॉक्स स्क्रिप्ट को रन होने से रोकने में मदद करेगा।
app-ssoनाम से एक कमांड लाइन टूल भी है जो स्क्रिप्ट को एक्सटेंशन की स्थिति पढ़ने की और साइन इन जैसी आम क्रियाओं के लिए अनुरोध करने की अनुमति देता है।मेनू अतिरिक्त : यूज़र को साइन करने की, फिर से कनेक्ट करने की, पासवर्ड बदलने की, साइन आउट करने की और कनेक्शन स्थिति देखने की अनुमति देने के लिए एक्सटेंशन में मेनू एक्स्ट्रा रहता है। रीकनेक्ट विकल्प हमेशा नया TGT रिट्रीव करता है और डोमेन की पासवर्ड समाप्ति-तिथि जानकारी को रीफ़्रेश करता है।
खाता उपयोग
Kerberos SSO एक्सटेंशन के लिए यह आवश्यक नहीं कि आपका Mac Active Directory से बाध्य हो या यूज़र ने मोबाइल खाते से Mac में लॉग इन किया हो। Apple सुझाव देता है कि आप Kerberos SSO एक्सटेंशन का उपयोग स्थानीय खाते के साथ करें। स्थानीय खाते से Active Directory एकीकरण को बेहतर बनाने के लिए Kerberos SSO एक्सटेंशन को विशेष रूप से बनाया गया था। हालाँकि, यदि आप मोबाइल खातों का उपयोग जारी रखने का विकल्प चुनते हैं, तो भी आप Kerberos SSO एक्सटेंशन का उपयोग कर सकते हैं। जब मोबाइल खातों के साथ इस्तेमाल किया जाता है :
पासवर्ड सिंक काम नहीं करेगा। यदि आप अपना Active Directory पासवर्ड बदलने के लिए Kerberos SSO एक्सटेंशन का उपयोग करते हैं और आपने अपने Mac में उसी यूज़र खाते का उपयोग करके लॉगइन किया है जिसका उपयोग आप Kerberos SSO एक्सटेंशन के साथ कर रहे हैं, तो यूज़र और समूह प्राथमिकता पेन में यूज़र खाते की कार्यक्षमता बदलने के साथ-साथ पासवर्ड अपनी कार्यक्षमता बदल देते हैं। लेकिन यदि आप बाहरी पासवर्ड परिवर्तन करते हैं—यानी आप वेबसाइट पर अपना पासवर्ड बदलते हैं या आपका हेल्प डेस्क उसे रीसेट करता है, तो Kerberos SSO एक्सटेंशन आपके मोबाइल खाते के पासवर्ड को आपके Active Directory पासवर्ड के साथ वापस सिंक नहीं कर सकता।
पासवर्ड बदलने वाले URL का उपयोग Kerberos एक्सटेंशन के साथ करना असमर्थित है।