Integrieren von Jamf Connect Sync in Kerberos

Jamf Connect Sync kann Tickets zur Authentifizierung bei einer Active Directory Domäne von Kerberos abrufen, wenn das Okta Passwort des Benutzers mit dem für Active Directory übereinstimmt. Zur Bestimmung des Benutzernamens wird in Jamf Connect Sync die Zeichenfolge vor dem „@“-Zeichen im Anmeldenamen des Benutzers ausgewertet. Dieser wird dann der Kerberos Bereich als Suffix angehängt.

Sie können mit der Authentifizierung bei Kerberos auch Zertifikate von einer Active Directory Web-Zertifizierungsstelle (Certificate Authority, CA) abrufen.

Konfigurieren von Kerberos

Bevor Sie Kerberos in Jamf Connect Sync aktivieren können, müssen Sie die folgenden Schritte ausführen:

  1. Sicherstellen, dass das Benutzerpasswort im Schlüsselbund des Benutzers gespeichert wird – Da der Benutzer zum Zeitpunkt der Anmeldung bei Okta normalerweise noch nicht mit der Active Directory Domäne verbunden ist, wartet Jamf Connect Sync ab, bis die Domäne erreichbar ist, bevor ein Anmeldeversuch mit dem Benutzernamen erfolgt. Das Benutzerpasswort wird von Jamf Connect Sync nicht zwischengespeichert, sondern vom Schlüsselbund des Benutzers abgerufen. Wenn die Authentifizierung bei Kerberos fehlschlägt, wird von Jamf Connect Sync kein neuer Versuch gestartet. Stattdessen wird das Passwort aus dem Schlüsselbund entfernt, um sicherzustellen, dass es nicht erneut verwendet wird. Anschließend wird der Benutzer vom Computer abgemeldet.

  2. Kerberos Bereich festlegen – Normalerweise wird hier die Active Directory Domäne in Großbuchstaben verwendet. Der Kerberos Bereich wird von Jamf Connect Sync einerseits zur Bildung des Kerberos Prinzipalnamens des Benutzers verwendet und andererseits um festzustellen, ob die Domäne für den Benutzer erreichbar ist.

  3. Kerberos Tickets in Jamf Connect Sync aktivieren – Zum Aktivieren von Kerberos kann der Benutzer in den Einstellungen von Jamf Connect Sync Get Kerberos Tickets (Kerberos Tickets abrufen) auswählen. Alternativ können Sie den Schlüssel TicketsOnSignIn in einem Konfigurationsprofil, in dessen Anwendungsbereich der Computer enthalten ist, auf „true“ setzen.

Betrieb mit Active Directory

Jamf Connect Sync interagiert folgendermaßen mit der Active Directory Domäne:

  • Jamf Connect Sync unterstützt verschiedene Standorte. Der bestmögliche Standort wird mittels einer LDAP-Ping-Methode ermittelt. Dieser Standort wird von Jamf Connect Sync verwendet, solange ein Domänencontroller erreichbar ist und keine Änderungen am Netzwerk vorgenommen werden. Andernfalls wird ein neuer Suchvorgang gestartet.

  • Jamf Connect Sync greift auf die Kerberos und LDAP-Bibliotheken des Systems zurück, damit sichergestellt ist, dass diese bei einer Aktualisierung von macOS ebenfalls aktualisiert werden.

  • Die Anwendung unterstützt Funktionsebenen von allen Windows Versionen von 2000 bis 2016.

  • Bei Anzeige des Ablaufdatums eines Passworts können von Jamf Connect Sync Richtlinien zum Ablauf von Passwörtern ermittelt und verwendet werden.

  • Die Verbindung mit der Domäne wird von Jamf Connect Sync beim Startvorgang und nach Netzwerkänderungen neu geprüft. Es kann auch ein Intervall in Minuten angegeben werden, sofern dies konfiguriert wird.

Zertifikate

Jamf Connect Sync kann nach der Authentifizierung bei Kerberos auch Zertifikate von einer Active Directory Web-Zertifizierungsstelle abrufen. Wenn diese Option konfiguriert ist, wird von Jamf Connect Sync eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt und mithilfe der hier angegebenen Zertifikatvorlage an die URL gesendet, die in den Einstellungen festgelegt wurde. Wird diese erfolgreich bearbeitet, wird das signierte Zertifikat von Jamf Connect Sync im Schlüsselbund des Benutzers gespeichert.

Hinweis: Damit dieser Vorgang von Jamf Connect Sync ausgeführt werden kann, muss der Benutzer dem SSL-Zertifikat der Zertifizierungsstelle vertrauen.

Standardmäßig wird von Jamf Connect Sync ein Schlüsselpaar für die Zertifikatsignieranforderung erstellt und als nicht aus dem Schlüsselbund des Benutzers exportierbar markiert. Diese Funktion kann mit der Einstellungsdatei deaktiviert werden.

Das Zertifikat wird von Jamf Connect Sync automatisch erneuert, wenn das aktuelle Zertifikat des jeweiligen Benutzers in weniger als 30 Tagen ungültig wird.

Weiterführende Informationen

Weitere Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.