Bereitstellen von Jamf Connect Login

Installation

Sie können Jamf Connect Login mithilfe des signierten Installationspakets installieren, das von Jamf zur Verfügung gestellt wird. Dieses Paket wird mit einer gültigen Apple Developer Identität signiert und sorgt für die Installation von Jamf Connect Login an folgendem Speicherort:

/Library/Security/SecurityAgentPlugins

Zudem werden mit diesem Paket die folgenden Authentifizierungstools installiert:

  • authchanger

    /Library/Security/SecurityAgentPlugins/JamfConnectLogin.bundle/Contents/MacOS/authchanger

    authchanger wird am Ende des Installationsvorgangs ausgeführt. Daraufhin wird die Autorisierungsdatenbank für die Authentifizierung mit OpenID Connect aktualisiert und Jamf Connect Login aktiviert.

  • Pluggable Authentication Module (PAM)

    /usr/local/lib/pam/pam_saml.so.2

Weitere Informationen über authchanger und das PAM finden Sie unter Authentifizierungstools.

Sie können das Installationspaket mit verschiedenen Tools für die Verwaltung von macOS Geräten bereitstellen. Nach der Installation des Pakets und eines Konfigurationsprofils wird beim nächsten Anmeldeversuch das Anmeldefenster angezeigt. Ein Neustart des Computers ist nicht erforderlich.

Hinweis: Wenn Sie einen individuellen Satz von Autorisierungsregeln verwenden möchten, können Sie das Paket ohne authchanger neu erstellen und stattdessen Ihre eigene Methode für die Aktualisierung der Autorisierungsdatenbank angeben.

Bereitstellung

Sie können Jamf Connect Login mithilfe Ihrer bevorzugten MDM-Lösung auf den Zielcomputern in Ihrer Umgebung bereitstellen.

Hinweis: Für die Ausführung dieses Workflows wird vorausgesetzt, dass die allgemeinen Anforderungen von Jamf Connect erfüllt werden. Weitere Informationen finden Sie unter Allgemeine Anforderungen und Kompatibilität mit Identitätsdiensten.

  1. Öffnen Sie die DMG-Datei von Jamf Connect und laden Sie die folgenden Pakete herunter:

    • Jamf Connect Login

    • Jamf Connect Configuration

  2. Erstellen Sie ein Konfigurationsprofil für Jamf Connect Login:

    1. Öffnen Sie Jamf Connect Configuration.

    2. Klicken Sie auf Neu.

    3. Wählen Sie im Einblendmenü Identitätsdienst Ihren Identitätsdienst aus und füllen Sie die erforderlichen Felder aus.

    4. (Optional) Klicken Sie auf Advanced Setup (Erweitertes Setup), um zusätzliche Einstellungen zu konfigurieren und Ihre Konfiguration zu testen. Weitere Informationen finden Sie unter Jamf Connect Configuration.

    5. Klicken Sie auf Speichern, um ein Konfigurationsprofil für Jamf Connect Login zu erstellen.

  3. Laden Sie Ihr Konfigurationsprofil für Jamf Connect in Ihre MDM-Lösung hoch. Nutzen Sie bei Verwendung von Jamf Pro dazu die Payload für benutzerdefinierte Einstellungen.
    Weitere Informationen über benutzerdefinierte Konfigurationsprofile finden Sie im Artikel Deploying Custom Configuration Profiles using Jamf Pro (Bereitstellen benutzerdefinierter Konfigurationsprofile mit Jamf Pro) in der Informationsdatenbank.

  4. Laden Sie das Konfigurationsprofil mit dem bereitgestellten Lizenzschlüssel in Ihre MDM-Lösung hoch.

    Hinweis: Sie können für alle Jamf Connect Apps denselben Lizenzschlüssel verwenden.

  5. Legen Sie als Anwendungsbereich für das in Schritt 4 hochgeladene Profil dieselben Computer fest, die in Schritt 3 ausgewählt wurden.

    Wichtig: Bei Verwendung von Okta müssen Sie zunächst die Authentifizierung mit Okta aktivieren, indem Sie das Installationspaket von Jamf Connect Login umbenennen und das Wort „Okta“ in den Namen aufnehmen. Bei der Benennung des Pakets muss die Groß- und Kleinschreibung nicht berücksichtigt werden.

  6. Laden Sie die PKG-Dateien für Jamf Connect Login in Ihre MDM-Lösung hoch.

  7. Erstellen Sie eine Richtlinie für die Bereitstellung der Pakete aus Schritt 6 und fügen Sie dem Anwendungsbereich die Zielcomputer hinzu.

Standardmechanismus von Jamf Connect Login

Der folgende XML-Text zeigt den loginwindow Standardmechanismus, der von authchanger installiert wird. Allen Mechanismen, die mit Jamf Connect Login installiert werden, ist das Präfix „JamfConnectLogin“ vorangestellt.

Hinweis: Sie können die Mechanismen in beliebiger Reihenfolge entsprechend Ihrem Workflow angeben.

<key>mechanisms</key>
<array>
<string>builtin:policy-banner</string>
<string>JamfConnectLogin:CheckAzure</string>
<string>JamfConnectLogin:CheckOIDC</string>
<string>JamfConnectLogin:PowerControl,privileged</string>
<string>JamfConnectLogin:CreateUser,privileged</string>
<string>JamfConnectLogin:DeMobilize,privileged</string>
<string>builtin:login-begin</string>
<string>builtin:reset-password,privileged</string>
<string>builtin:forward-login,privileged</string>
<string>builtin:auto-login,privileged</string>
<string>builtin:authenticate,privileged</string>
<string>PKINITMechanism:auth,privileged</string>
<string>builtin:login-success</string>
<string>loginwindow:success</string>
<string>loginwindow:FDESupport,privileged</string>
<string>HomeDirMechanism:login,privileged</string>
<string>HomeDirMechanism:status</string>
<string>MCXMechanism:login</string>
<string>CryptoTokenKit:login</string>
<string>loginwindow:done</string>
<string>JamfConnectLogin:EnableFDE,privileged</string>
<string>JamfConnectLogin:SierraFixes,privileged</string>
</array>

Der einzige integrierte Mechanismus für macOS, der entfernt wird, ist loginwindow:login, mit dem die Standard-Benutzeroberfläche des Anmeldefenster unter macOS angezeigt wird.

Protokollierung

Protokolle von Jamf Connect Login können mit der Konsolenanwendung oder mit dem Befehl log in Terminal angezeigt werden. Sie können für alle mit dem Sicherheitsagentenprozess erfassten Protokolle Filter festlegen, da über diesen Prozess alle Mechanismen von Jamf Connect Login ausgeführt werden. Alternativ können Sie Filter für das Subsystem com.jamf.connect.login festlegen. Das Protokoll des letzten Anmeldevorgangs auf dem Computer wird an folgendem Speicherort abgelegt: /private/tmp/jamf_login.log

Greifen Sie für die Fehlersuche in Bezug auf die Protokollierung mit SSH (Secure Shell) auf den Computer zu und führen Sie den folgenden Befehl aus:

log stream --predicate 'subsystem == "com.jamf.connect.login"' --debug

Hinweis: Sie müssen auf dem Computer die Remote-Anmeldung aktivieren, um SSH nutzen zu können.

Drücken Sie Ctrl + C, um die Protokollierung zu stoppen.

Sie können ebenfalls den Befehl log show ausführen, um Protokolle anzuzeigen, die erstellt wurden, nachdem der Benutzer den Anmeldevorgang abgeschlossen hat:

log show --predicate 'subsystem == "com.jamf.connect"' --debug

Weitere Informationen finden Sie in dem Artikel Erfassen von Protokollen in Jamf Connect Login in der Informationsdatenbank.

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

Weiterführende Informationen zum Anpassen des Jamf Connect Login Pakets finden Sie in dem Artikel Anpassen des Jamf Connect Login Pakets mit Composer in der Informationsdatenbank.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.