Informationen zur loginwindow Anwendung

Wenn macOS auf einem Computer zum ersten Mal gestartet wird und bereit für die Anmeldung des Benutzers ist, wird die Anwendung loginwindow gestartet.

Hinweis: Die loginwindow Anwendung wird gemeinhin als „Anmeldefenster“ bezeichnet und stellt die bei der Anmeldung am Computer angezeigte Benutzeroberfläche dar. Die Benutzeroberfläche für das Anmeldefenster ist dabei nur einer der vielen integrierten Mechanismen der loginwindow Anwendung.

Bei der Ausführung wird von loginwindow in der Autorisierungsdatenbank die Berechtigung „system.login.console“ abgerufen. Eine Berechtigung in der Autorisierungsdatenbank, in diesem Fall die Möglichkeit, sich an der Konsole anzumelden, besteht aus einer Reihe von Mechanismen oder Regeln. Alle Mechanismen werden von loginwindow ausgeführt, um zu bestimmen, ob der Benutzer zur Anmeldung berechtigt ist. Jede Ausführung eines Mechanismus kann dazu führen, dass die Anmeldung verweigert wird, weil die Anmeldung des Benutzers von allen Mechanismen freigegeben werden muss, damit der Anmeldevorgang durchgeführt wird.

Mechanismen können als „root“-Benutzer oder als Sicherheitsagent ausgeführt werden. In der Regel sollten alle Mechanismen, die im Zusammenhang mit der Anzeige einer grafischen Benutzeroberfläche stehen, als Sicherheitsagent ausgeführt werden. Dieser besonderen Benutzerrolle ist ein eingeschränkter Satz von Berechtigungen zugewiesen, durch den die Interaktion mit dem System minimiert wird.

Zwischen den loginwindow Mechanismen findet keine direkte Kommunikation statt. Auf dem Sicherheitsserver wird eine Datenstruktur von Hinweisen und Kontexteinstellungen vorgehalten, die von den Mechanismen bei der Ausführung festgelegt und abgerufen werden können. Dadurch können mit einem als Sicherheitsagent ausgeführten Prozess Informationen an einen anderen Mechanismus übergeben werden, der mit „root“-Berechtigungen ausgeführt wird.

Die eigentliche Authentifizierung des Benutzers erfolgt im Laufe dieses Prozesses. In der Standardeinstellung werden verschiedene Mechanismen ausgeführt, bevor ein Benutzer authentifiziert wird. Die restlichen Mechanismen werden nach der Authentifizierung ausgeführt, um den Computer für den Start von Finder vorzubereiten.

Die Mechanismen werden in der Reihenfolge ausgeführt, die in der Autorisierungsdatenbank festgelegt ist. Von loginwindow wird weder die Reihenfolge geändert noch der Workflow modifiziert. Stattdessen wird anhand der Mechanismen unabhängig festgestellt, ob eine Aktion erforderlich ist.

Standardeinstellungen von loginwindow

Führen Sie den folgenden Befehl aus, um den aktuell installierten loginwindow Mechanismus auf einem Computer anzuzeigen:

security authorizationdb read system.login.console

Die Anzeige erfolgt im XML-basierten PLIST-Format. Unter dem Schlüsselwert Mechanisms wird der aktuelle loginwindow Mechanismus als Array von Zeichenketten angezeigt.

Mechanismen, die als „privileged“ gekennzeichnet sind, führen dazu, dass der betreffende Mechanismus von loginwindow mit „root“-Berechtigungen ausgeführt wird.

Weitere Informationen über die mit Jamf Connect Login installierten loginwindow Mechanismen finden Sie im Abschnitt loginwindow Mechanismen.

Bearbeiten der Einstellungen für loginwindow

Die Einstellungen von loginwindow können mithilfe des Programms authchanger bearbeitet werden, das zusammen mit Jamf Connect Login installiert wird. Weitere Informationen finden Sie unter authchanger.

Sie können loginwindow Mechanismen auch manuell auf einem macOS Computer anpassen:

  1. Öffnen Sie Terminal und führen Sie den folgenden Befehl aus:

    security authorizationdb read system.login.console
  2. Bearbeiten Sie das XML-basierte Array von Mechanismen mit einem beliebigen Texteditor.

  3. Laden Sie die Liste neu, indem Sie den Befehl „security“ mit „root“-Berechtigungen ausführen:

    sudo security authorizationdb write system.login.console < newset.xml

Hinweis: Wenn die loginwindow Anwendung gerade ausgeführt wird, müssen Sie sie neu starten, damit Ihre Änderungen übernommen werden. Wenn aktuell kein Benutzer am Computer angemeldet ist, können Sie die loginwindow Anwendung durch Eingabe des folgenden Befehls mit „root“-Berechtigungen schließen:

sudo killall loginwindow

Sollte aktuell ein Benutzer am Computer angemeldet sein, muss dieser sich zuerst abmelden.

Zudem kann es nützlich sein, mit einem Administratoraccount in einer Finder Sitzung angemeldet zu bleiben und sich gleichzeitig mithilfe der Funktion für schnellen Benutzerwechsel bei loginwindow anzumelden. Mit dem oben aufgeführten Befehl killall werden alle aktuell ausgeführten Finder Sitzungen beendet, auch diejenigen, bei denen Sie als Administrator angemeldet sind.

Hinweis: Der schnelle Benutzerwechsel muss auf dem Computer aktiviert sein, damit Sie diese Funktion nutzen können. Navigieren Sie dazu in den Systemeinstellungen zu Benutzer & Gruppen > Anmeldeoptionen.

Zurücksetzen der loginwindow Einstellungen auf die Standardwerte

Um die Einstellungen in loginwindow auf die Standardwerte für macOS zurückzusetzen, können Sie mit authchanger folgenden Befehl ausführen:

sudo /usr/local/bin/authchanger authchanger -reset

Alternativ können Sie eine der folgendenMethoden verwenden:

  • Importieren Sie mithilfe der oben aufgeführten security-Befehle eine funktionierende Konfiguration.

  • Entfernen Sie die SQLite Datenbank /var/db/auth.db die die Mechanismen enthält. Starten Sie den Computer nach dem Entfernen der Datei neu. Anschließend werden die Einstellungen von loginwindow auf die Standardwerte zurückgesetzt. Sie können den Rücksetzvorgang im Einzelbenutzermodus durchführen.

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

  • Weitere Mechanismen
    Hier erfahren Sie, wie Sie nicht standardmäßige Mechanismen zu Jamf Connect Login hinzufügen.

  • loginwindow Mechanismen
    Hier finden Sie eine detaillierte Beschreibung jedes loginwindow Mechanismus, der mit Jamf Connect Login installiert wird.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.