Kerberos-Integration

Sie können Jamf Connect zur Verwendung von einer auf Kerberos basierenden Authentifizierung konfigurieren, um Passwortänderungen statt mit einem cloudbasierten Identitätsdienst direkt mit Active Directory durchzuführen.

Jamf Connect kann auch Kerberos Tickets zur Authentifizierung bei einer Active Directory Domäne beziehen, wenn das Netzwerkpasswort des Benutzers mit dem für Active Directory übereinstimmt. Zur Bestimmung des Benutzernamens wird in Jamf Connect die Zeichenfolge vor dem „@“-Zeichen im Anmeldenamen des Benutzers ausgewertet. An diese wird der Kerberos Bereich als Suffix angehängt.

Wenn Kerberos konfiguriert ist, interagiert Jamf Connect auf folgende Weise mit der Active Directory Domäne:

  • Jamf Connect unterstützt verschiedene Standorte. Der bestmögliche Standort wird mittels einer LDAP-Ping-Methode ermittelt. Dieser Standort wird von Jamf Connect verwendet, solange ein Domänencontroller erreichbar ist und keine Änderungen am Netzwerk vorgenommen werden. Andernfalls wird ein neuer Suchvorgang gestartet.

  • Jamf Connect greift auf die Kerberos und LDAP-Bibliotheken des Systems zurück, damit sichergestellt ist, dass diese bei einer Aktualisierung von macOS ebenfalls aktualisiert werden.

  • Jamf Connect kann Richtlinien zum Ablauf von Passwörtern erkennen und benutzt sie zum Anzeigen von Hinweisen auf ablaufende Passwörter.

  • Die Verbindung mit der Domäne wird von Jamf Connect beim Startvorgang und nach Netzwerkänderungen neu geprüft. Es kann auch ein Intervall in Minuten angegeben werden, sofern dies konfiguriert wird.

Kerberos Einstellungen

Domäne: com.jamf.connect

Schlüsselverzeichnis: Kerberos

Beschreibung: Zum Integrieren von Jamf Connect in einen Kerberos Bereich zur Passwortsynchronisierung

Schlüssel

Beschreibung

Beispiel

Realm

Kerberos Bereich

Legt den Kerberos Bereich für das Abrufen von Kerberos Tickets fest. Ihr Kerberos Bereich muss komplett in Großbuchstaben angegeben werden.

<key>Realm</key>

<string>IHRUNTERNEHMEN.NET</string>

AutoRenewTickets

Kerberos Tickets erneuern

Legt fest, ob die Kerberos Tickets erneuert werden sollen

<key>AutoRenewTickets</key>

<false/>

ShortName

Benutzerdefinierter Kurzname, der benutzt werden soll, um Kerberos Tickets zu erhalten.

<key>ShortName</key>

<string>Joel</string>

ShortNameAttribute

Attribut mit Kurzname

ID-Tokenattribut, das als Kurzname verwendet werden soll Wenn nicht angegeben, wird der Wert ShortName verwendet. Wenn keine Werte für ShortNameAttribute oder ShortName gefunden werden und der Schlüssel AskForShortName auf „true“ gesetzt ist, wird der Endbenutzer aufgefordert, seinen Kurznamen einzugeben.

Hinweis:

  • Attribut mit Kurzname kann nicht zur Angabe des Kurznamens verwendet werden, wenn MFA aktiviert ist.

  • Wenn Sie Okta als Identitätsdienst verwenden, müssen Sie auch die Einstellungsschlüssel Client ID (Client-ID) (ROPGID) und Tenant ID (Mandanten-ID) (TenantID) konfigurieren, damit Jamf Connect den mit ShortNameAttribute angegebenen Kurznamen verwendet.

<key>ShortNameAttribute</key>

<string>Attribut</string>

AskForShortName

Kurznamen abfragen

Legt fest, ob der Benutzer bei der ersten Anmeldung zur Eingabe seines Kerberos Kurznamens aufgefordert wird.

<key>AskForShortName</key>

<false/>

AskForShortNameMessage

Meldung zum Abfragen des Kurznamens

Die Meldung, die dem Benutzer angezeigt wird, wenn er zur Eingabe des Kerberos Kurznamens aufgefordert wird.

<key>AskForShortNameMessage</key>

<string>Geben Sie Ihren Benutzernamen für Active Directory ein.</string>

Zertifikate

Jamf Connect kann nach der Authentifizierung bei Kerberos auch Zertifikate von einer Active Directory Web-Zertifizierungsstelle abrufen. Wenn diese Option konfiguriert ist, wird von Jamf Connect eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt und mithilfe der dort angegebenen Zertifikatvorlage an die in Ihrem Jamf Connect Konfigurationsprofil festgelegte URL gesendet. Wird die Zertifikatsignieranforderung erfolgreich bearbeitet, wird das signierte Zertifikat von Jamf Connect im Schlüsselbund des Benutzers gespeichert.

Hinweis: Um Zertifikate zu erhalten, müssen die Benutzer dem SSL-Zertifikat der Zertifizierungsstelle vertrauen.

Standardmäßig wird von Jamf Connect ein Schlüssel-Wert-Paar für die Zertifikatsignieranforderung erstellt und als nicht aus dem Schlüsselbund des Benutzers exportierbar markiert. Diese Funktion kann mit der Einstellungsdatei deaktiviert werden. Das Zertifikat wird von Jamf Connect automatisch erneuert, wenn das aktuelle Zertifikat des jeweiligen Benutzers in weniger als 30 Tagen ungültig wird.

Hinweis: Da der Benutzer zum Zeitpunkt der Anmeldung bei einem Identitätsdienst normalerweise noch nicht mit der Active Directory Domäne verbunden ist, wartet Jamf Connect ab, bis die Domäne erreichbar ist, bevor ein Anmeldeversuch mit dem Benutzernamen erfolgt. Das Benutzerpasswort wird von Jamf Connect nicht zwischengespeichert, sondern vom Schlüsselbund des Benutzers abgerufen.

Zertifikateinstellungen

Domäne: com.jamf.connect

Schlüsselverzeichnis: Certificates

Beschreibung: Zum Konfigurieren von Windows Web-Zertifizierungsstellen

Schlüssel

Beschreibung

Beispiel

WindowsCA

X.509-Zertifizierungsstelle

Gibt die URL der Windows Web-Zertifizierungsstelle an, die Jamf Connect für Zertifikate verwenden soll.

<key>WindowsCA</key>

<string>dc1.jamfconnect.test</string>

CertificateTemplate

Zertifikatvorlage

Zertifikatvorlage von einer Windows Web-Zertifizierungsstelle.

<key>CertificateTemplate</key>

<string>Benutzerauthentifizierung</string>

GetCertificateAutomatically

Zertifikate automatisch abrufen

Ermöglicht Jamf Connect das automatische Abrufen eines Zertifikats von einer Windows Web-Zertifizierungsstelle während des Anmeldevorgangs.

<key>GetCertificateAutomatically</key>

<false/>

SecureNetworks

Verknüpfte WLAN-Netzwerke

Liste mit sicheren Drahtlosnetzwerken, die mit dem Zertifikat verknüpft werden sollen, das von Jamf Connect erstellt wurde.

<key>SecureNetworks</key>

<array>

<string>SSID1</string>

<string>SSID2</string>

</array

ExportableCertificateKey

Exports privater Schlüssel erlauben

Erlaubt das Exportieren des privaten Schlüssels des Benutzerzertifikats.

<key>ExportableCertificateKey</key>

<false/>

Weiterführende Informationen

Weiterführende Informationen finden Sie hier:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2020 Jamf. Alle Rechte vorbehalten.