loginwindow Mechanismen

Mithilfe von Jamf Connect Login kann die Anwendung loginwindow um mehrere Mechanismen erweitert werden. Darüber hinaus werden die meisten Standardmechanismen für macOS verwendet.

Hinweis: Mechanismen, die als „privileged“ gekennzeichnet sind, führen dazu, dass der betreffende Mechanismus von loginwindow mit „root“-Berechtigungen ausgeführt wird. Sie verfügen nicht über eine Benutzeroberfläche.

Standardmechanismus von Jamf Connect

Die folgenden Mechanismen werden von Jamf Connect Login standardmäßig zur loginwindow Anwendung hinzugefügt:

Mechanismus

Beschreibung

JamfConnectLogin:CheckAzure

Bei diesem Mechanismus wird anhand des Schlüssels OIDCProvider bestimmt, ob Microsoft Azure AD als Identitätsdienst verwendet werden soll.

Wenn Sie Azure als Identitätsdienst verwenden, wird mit dem Mechanismus CheckAzure der Authentifizierungsvorgang gestartet und den Benutzern eine Microsoft Webansicht angezeigt.

Ist Azure nicht der verwendete Identitätsdienst, wird mit dem Mechanismus CheckOIDC die Ausführung von loginwindow fortgesetzt.

 

JamfConnectLogin:CheckOIDC

or

JamfConnectLogin:CheckOkta

Mit diesem Mechanismus wird die Authentifizierung bei Ihrem Identitätsdienst durch direkten Zugriff auf Ihren Okta oder OIDC Endpunkt durchgeführt. Kunden mit OpenID Connect (OIDC) müssen den Mechanismus CheckOIDC verwenden, während für Okta Kunden der Mechanismus CheckOkta verfügbar ist.

Hinweis: Der Mechanismus CheckOkta wird über die Okta API für die Authentifizierung ausgeführt. Um diese Funktion zu aktivieren, sind keine Änderungen in Okta notwendig.

Damit Sie den Mechanismus CheckOkta bzw. CheckOIDC verwenden können, müssen Sie den jeweiligen Identitätsdienst in den Einstellungen von Jamf Connect Login angeben.

Dieser Mechanismus unterstützt sowohl einfache Authentifizierungen als auch Multi-Faktor-Authentifizierungen (MFA) und Rücksetzvorgänge für Passwörter bei einem Identitätsdienst. Dabei wird der Benutzer nicht direkt beim System authentifiziert. Stattdessen wird der folgende Hintergrundprozess ausgeführt:

  1. Mit dem Mechanismus werden der Benutzername und das Passwort des Benutzers erfasst. Anschließend wird der Benutzer lokal verifiziert.

  2. Mit dem Mechanismus wird eine der folgenden Aktionen ausgeführt:

    • Wenn der Benutzername mit einem lokalen Benutzer übereinstimmt, werden der Benutzername und das Passwort im Sicherheitsagenten abgelegt. Anschließend wird mit dem nächsten Mechanismus im Authentifizierungsprozess fortgefahren.

    • Wenn der Benutzername mit keinem lokalen Benutzer übereinstimmt oder gemäß einer vorhandenen Konfiguration immer die Authentifizierung bei Ihrem Identitätsdienst vorgenommen wird, werden der Benutzername und das Passwort bei Okta bzw. OIDC authentifiziert.

JamfConnectLogin:PowerControl,privileged

Mit dem Mechanismus PowerControl werden die Tasten zum Herunterfahren und Zurücksetzen im Fenster von Jamf Connect Login aktiviert. Für diesen Mechanismus gibt es keine konfigurierbaren Optionen. Zudem muss der Mechanismus als „privileged“ gekennzeichnet sein, um ausgeführt werden zu können.

JamfConnectLogin:CreateUser,privileged

Mit dem Mechanismus CreateUser wird ein lokaler Account mit dem Benutzernamen und dem Passwort erstellt, die mit dem Mechanismus CheckOIDC bzw. CheckOkta angegeben wurden.

Dieser Mechanismus bewirkt Folgendes, je nachdem, ob ein lokaler Benutzer vorhanden ist:

  • Wenn der Kurzname des aktuell authentifizierten Benutzers mit dem lokalen Benutzer übereinstimmt, wird der Mechanismus CreateUser nicht ausgeführt. Der Rest des Mechanismus wird ausgeführt.

  • Wenn für den aktuell authentifizierten Benutzer kein lokaler Benutzer gefunden wird, bewirkt CreateUser die Erstellung eines lokalen Accounts.

Bei Erstellung eines neuen Benutzers kann mit dem Mechanismus CreateUser zudem Folgendes ausgeführt werden:

  • Zuweisen der ersten verfügbaren Benutzer-ID, angefangen bei der Benutzer-ID 501

  • Standardmäßiges Erstellen neuer Benutzer auf dem System als Nicht-Administrator. Diese Konfiguration kann mithilfe eines Einstellungsschlüssels oder mithilfe der OIDC Einstellungen im Mechanismus CheckOIDC geändert werden.

  • Erstellen eines Standard-Benutzerordners für den neuen Benutzer mithilfe des Befehls createhomedir. Der Benutzerordner wird in einem Verzeichnis angelegt, das durch die lokalen Einstellungen des Computers vorgegeben wird.

  • Erstellen der Datei /var/db/.NoMADCreateUser, die den Namen des betreffenden Benutzers enthält

Bei Verwendung von Okta wird mit dem Mechanismus CreateUser ein Benutzer ausgehend von dem Prozess migriert, der mit dem Mechanismus CheckOkta gestartet wurde.

JamfConnectLogin:DeMobilize,privileged

Mit dem Mechanismus DeMobilize können mobile Active Directory Accounts zu ausschließlich lokalen Accounts geändert werden.

Wenn dieser Mechanismus aktiviert ist, werden alle nichtlokalen Attribute aus dem Datensatz des Benutzers entfernt, bevor der Benutzer beim System authentifiziert wird. Das Passwort, die Benutzer-ID und der Benutzerordner des Benutzers bleiben danach jedoch unverändert. Ein Neustart ist nicht erforderlich.

Hinweis: Mit diesem Mechanismus wird keine möglicherweise bestehende Active Directory Anbindung entfernt. Stattdessen wird lediglich die Verknüpfung des Benutzers mit einem Benutzerdatensatz in Active Directory aufgehoben.

JamfConnectLogin:EnableFDE,privileged

Sie können für den ersten Benutzer auf Computern mit macOS ab Version 10.13 und einem mittels AFPS formatiertem Volume die Verschlüsselung per FileVault aktivieren. Dieser Mechanismus eignet sich hervorragend für Ersteinrichtungsvorgänge, um vor der Anmeldung des Benutzers sicherzustellen, dass FileVault aktiviert ist. Ohne diesen Mechanismus müssen Sie FileVault manuell aktivieren oder den Benutzer abmelden, um die Verschlüsselung zu aktivieren.

Hinweis: Wenn Sie Ihre macOS Computer mit einer MDM-Lösung verwalten, können Sie ein Profil für FileVault Wiederherstellungsschlüssel erstellen und persönliche Wiederherstellungsschlüssel darin verwahren.

Mit diesem Mechanismus wird FileVault nur dann aktiviert, wenn alle der folgenden Bedingungen erfüllt sind:

  • Auf dem Computer ist macOS ab Version 10.13 installiert.

  • Das Volume ist mit APFS formatiert.

  • FileVault ist noch nicht aktiviert.

  • Der Einstellungsschlüssel „EnableFDE“ ist in Jamf Connect Login konfiguriert.

Wenn alle diese Bedingungen erfüllt sind, wird der Benutzer für FileVault freigeschaltet und erhält ein Sicherheitstoken. Wenn es sich bei dem Benutzer um einen lokalen Administrator handelt, kann dieser andere Benutzer für FileVault auf dem jeweiligen Computer freischalten.

Hinweis: Mit diesem Mechanismus kann FileVault auch für Nicht-Administratoren aktiviert werden.

JamfConnectLogin:SierraFixes,privileged

Mit diesem Mechanismus wird die Zeit für den ersten Anmeldevorgang auf Computern mit macOS ab Version 10.12 verkürzt.

Hinweis: Auf Computern mit macOS ab Version 10.13 kann dieser Mechanismus nicht ausgeführt werden.

Weitere Jamf Connect Mechanismen

Die folgenden Mechanismen können mithilfe des Tools authchanger zur loginwindow Anwendung hinzugefügt werden:

Mechanismus

Beschreibung

JamfConnectLogin:EULA

Dieser Mechanismus ermöglicht die Konfiguration einer Endbenutzer-Lizenzvereinbarung, die während des Anmeldevorgangs akzeptiert werden muss.

Weitere Informationen zum Hinzufügen dieses Mechanismus zu Jamf Connect finden Sie unter Hinzufügen des „EULA“-Mechanismus.

JamfConnectLogin:Notify

Dieser Mechanismus ermöglicht die Ausführung des „Notify“-Skripts, mit welchem dem Benutzer der Einrichtungsprozess auf einem Computer angezeigt wird.

Weitere Informationen zum Hinzufügen dieses Mechanismus zu Jamf Connect finden Sie unter Hinzufügen des „Notify“-Mechanismus.

JamfConectLogin:Runscript

Mit diesem Mechanismus können Administratoren ein Skript angegeben, das parallel zum loginwindow Prozess ausgeführt wird.

Weitere Informationen zum Hinzufügen dieses Mechanismus zu Jamf Connect finden Sie unter Hinzufügen des „RunScript“-Mechanismus.

macOS Mechanismen

Die folgenden Mechanismen sind standardmäßig in der loginwindow Anwendung für macOS enthalten und kommen bei Standardinstallationen von Jamf Connect Login weiterhin zum Einsatz:

Mechanismus

Beschreibung

builtin:policy-banner

Mit diesem Mechanismus wird eine RTFD-Datei (Rich Text Format Directory) mit einer Richtlinie über die bestimmungsgemäße Verwendung angezeigt. Der Benutzer muss diese Mitteilung quittieren, indem er auf Accept (Akzeptieren) klickt, bevor er mit dem Anmeldefenster fortfahren kann.

builtin:login-begin

Mit diesem Mechanismus wird dem System gemeldet, dass der loginwindow Prozess gestartet wurde.

builtin:reset-password,privileged

Mit diesem Mechanismus kann ein Passwort durch Angabe einer Apple ID zurückgesetzt werden.

builtin:forward-login,privileged

Mit diesem Mechanismus werden beim Starten Anmeldedaten von EFI weitergeleitet.

builtin:auto-login,privileged

Mit diesem Mechanismus werden beim Starten automatisch Anmeldedaten übertragen.

builtin:authenticate,privileged

Mit diesem Mechanismus wird festgelegt, ob ein Benutzer zum Anmelden berechtigt ist.

PKINITMechanism:auth,privileged

Mit diesem Mechanismus wird Kerberos initialisiert, indem der Ticket Granting Server (TGS) abgerufen wird.

builtin:login-success

Dieser Mechanismus bewirkt Folgendes:

  • Schützen der Anmeldesitzung vor unbefugtem Fernzugriff

  • Erfassen des Anmeldevorgangs in den utmp- und utmpx-Datenbanken des Systems

  • Festlegen des Besitzers und der Berechtigungen für das Konsolenterminal

loginwindow:success

Mit diesem Mechanismus wird der Prozess zum Einrichten der Umgebung für Finder gestartet.

HomeDirMechanism:login,privileged

Mit diesem Mechanismus wird der Benutzerordner des Benutzers bereitgestellt.

HomeDirMechanism:status

Mit diesem Mechanismus wird der Fortschritt beim Bereitstellen des Benutzerordners angezeigt.

MCXMechanism:login

Mit diesem Mechanismus werden Konfigurationsprofile auf den Computer angewendet.

CryptoTokenKit:login

Dieser Mechanismus kann mit Smart Cards und anderen Token-basierten Authentifizierungsmethoden verwendet werden.

loginwindow:done

Mit diesem Mechanismus werden viele verbleibende Einrichtungstätigkeiten für den Benutzer abgeschlossen. Folgende Aktionen werden abgeschlossen:

  • Die Benutzereinstellungen werden auf die Standardwerte des globalen Systems zurückgesetzt.

  • Die Einstellungen für die Maus, die Tastatur und die Soundausgabe des Systems werden anhand der Benutzereinstellungen konfiguriert.

  • Die Gruppenberechtigungen des Benutzers werden festgelegt.

  • Der Datensatz des Benutzers wird von den Verzeichnisdiensten abgerufen und auf die Sitzung angewendet.

  • Die Computereinstellungen, Dateiberechtigungen, Zugriffsberechtigungen für den Schlüsselbund und andere Einstellungen des Benutzers werden geladen.

  • Das Dock, Finder und SystemUIServer werden gestartet.

  • Die für den Benutzer festgelegten Anmeldeelemente werden gestartet.

Weiterführende Informationen

  • Weitere Mechanismen
    Hier erfahren Sie, wie Sie nicht standardmäßige Mechanismen zu Jamf Connect Login hinzufügen.

  • authchanger
    Hier erfahren Sie, wie Sie mit authchanger die Einstellungen für die Authentifizierungsdatenbank konfigurieren und nicht standardmäßige Mechanismen zu Jamf Connect Login hinzufügen.

  • Informationen zur loginwindow Anwendung
    Hier erfahren Sie mehr über das Funktionsprinzip der loginwindow Anwendung auf macOS Geräten.

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen
© copyright 2002-2019 Jamf. Alle Rechte vorbehalten.