Pluggable Authentication Module (PAM)

Das Pluggable Authentication Module (PAM) ist ein Authentifizierungstool, das die Verwendung des Befehls sudo mit Jamf Connect Login ermöglicht. Das PAM ist in jeder Jamf Connect Login Installation enthalten und wird in folgendem Verzeichnis auf dem jeweiligen Computer gespeichert:

/usr/local/lib/pam/pam_saml.so.2

Aktivieren des PAM

Gehen Sie zum Aktivieren des PAM folgendermaßen vor:

  1. (Nur bei Okta) Führen Sie den folgenden Befehl mit authchanger aus, um in Jamf Connect Login die Authentifizierung mit dem PAM zu aktivieren:

    /usr/local/bin/authchanger -DefaultJCRight
  2. Fügen Sie dem Konfigurationsprofil für Jamf Connect Login die folgenden Einstellungsschlüssel hinzu:

    Pluggable Authentication Module (PAM)

    Schlüssel

    Beschreibung

    Beispiel

    AuthUIOIDCProvider

    Gibt den mit dem PAM zu verwendenden Identitätsdienst an.

    <key>AuthUIOIDCProvider<key>

    <string>identitätsanbieter-einfügen</string>

    AuthUIOIDCClientID

    Die für die Authentifizierung des Benutzers verwendete Client-ID der App, die bei Ihrem Identitätsdienst registriert wurde.

    <key>AuthUIOIDCClientID</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    AuthUIOIDCRedirectURI

    Die Weiterleitungs-URI, die von der bei Ihrem Identitätsdienst registrierten App verwendet wird.

    <key>AuthUIOIDCRedirectURI</key>

    <string>https://127.0.0.1/jamfconnect</string>

    AuthUIOIDCTenant

    Gibt an, welcher in Ihrem Identitätsdienst festgelegte Mandant zusammen mit dem PAM verwendet werden soll.

    Hinweis: Wenn Sie als Identitätsdienst Okta verwenden, muss dieser Schlüssel angegeben werden.

    <key>AuthUIOIDCTenant</key>

    <string>dev-123456</string>

    AuthUIOIDCClientSecret

    Das Client-Geheimnis, das von der Jamf Connect App bei Ihrem Identitätsdienst verwendet wird. Dieser Wert ist nur Jamf Connect und Ihrem Identitätsdienst bekannt.

    <key>AuthUIOIDCClientSecret</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    .

  3. Öffnen Sie in Terminal das PAM Konfigurationsprofil, indem Sie den folgenden Befehl ausführen:

    sudo vi /etc/pam.d/sudo

  4. Geben Sie Ihr lokales Passwort ein.

  5. Aktivieren Sie den Bearbeitungsmodus und fügen Sie den folgenden Eintrag hinzu:

    auth sufficient pam_saml.so

    Hinweis: Beim Versuch, eine schreibgeschützte Datei zu bearbeiten, wird möglicherweise eine Warnmeldung angezeigt. Fahren Sie mit der Bearbeitung der Datei fort und befolgen Sie dann die Anweisungen in Schritt 6, um die Änderungen zu speichern.

    images/download/attachments/79167856/PAM_Enable.png

  6. Drücken Sie die Esc-Taste, um den Bearbeitungsmodus zu verlassen. Speichern und schließen Sie dann die schreibgeschützte Datei, indem Sie unten im Terminal Fenster den folgenden Befehl eingeben:

    :wq!

    Hinweis: Nachdem Sie den Bearbeitungsmodus verlassen haben, sollte Ihr Cursor automatisch zum unteren Rand des Terminal Fensters wechseln.

Authentifizieren mit dem PAM

Nach der Aktivierung des PAM können Sie sich mithilfe des Befehls sudo mit Ihrem cloudbasierten Identitätsdienst authentifizieren.

  1. So können Sie in Terminal mit sudo beliebige Befehle ausführen, wie z. B. den folgenden:

    sudo ls

  2. Das Anmeldefenster Ihres Identitätsdienstes wird angezeigt. Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich zu authentifizieren.

    Hinweis: Wenn Sie das Anmeldefenster schließen, werden Sie aufgefordert, Ihr Passwort stattdessen in Terminal einzugeben.

  3. Nach der Authentifizierung sollte der Befehl sudo in Terminal ausgeführt werden.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.