authchanger

Mit dem Befehlszeilentool authchanger können Änderungen an der Authentifizierungsdatenbank durchgeführt werden, die von der loginwindow Anwendung von macOS verwendet wird. Das Programm verfügt über folgende Funktionen:

  • Festlegen der Reihenfolge für die Ausführung der Mechanismen

  • Aktivieren von Jamf Connect für die Authentifizierung mit Okta oder OpenID Connect bei einem cloudbasierten Identitätsdienst

  • Zurücksetzen der Datenbank auf den Standardzustand

  • Ausführen eines einzelnen Jamf Connect Mechanismus während des loginwindow Ablaufs, wie zum Beispiel des „Demobilize“-Mechanismus

  • Konfigurieren der Ausführung eines Skripts durch Jamf Connect nach dem Authentifizierungsprozess

authchanger-Befehle können von den folgenden Dateipfaden ausgeführt werden:

/usr/local/bin/authchanger

Sie können authchanger zum Einrichten der Authentifizierungsdatenbank zur Authentifizierung mit Jamf Connect auf eine der folgenden Arten benutzen:

  • Ausführen von authchanger Befehlen über ein Postinstall-Skript im Anmeldefenster-Installationspaket.

Hinweis:

  • Dieses Tool benötigt Root-Rechte, um Datenbankänderungen durchführen zu können.

  • Vergewissern Sie sich vor dem Durchführen von Änderungen mit dem Befehl -reset davon, dass für die Authentifizierungsdatenbank die Standardeinstellungen verwendet werden.

  • Manuelles Ausführen von authchanger Befehlen auf der Kommandozeile.

  • Aufnehmen von authchanger Argumenten in ein Konfigurationsprofil, das in die Domäne com.jamf.connect.authchanger geschrieben ist. Jamf Connect Jamf Connect sucht nach authchanger Argumenten in Form eines Array von Zeichenfolgen im Schlüssel Arguments und liest sie in derjenigen Reihenfolge, in der die Zeichenfolgen konfiguriert sind, auf gleiche Weise, wie sie auch auf der Kommandozeile angeordnet werden.

Das Jamf Connect Installationsprogramm fügt standardmäßig keine Argumente zu authchanger hinzu.

Nach der Installation des Anmeldefensters sucht Jamf Connect in der folgenden Reihenfolge nach authchanger Argumenten:

  1. Befehle, die von der Kommandozeile aus ausgeführt werden. Dabei sind die folgenden Szenarien zu beachten:

    • Wenn ein Befehl mit Argumenten ausgeführt wird, werden Einstellungen aus Konfigurationsprofilen ignoriert.

    • Wenn ein Befehl ohne Argumente ausgeführt wird, sucht Jamf Connect nach Einstellungen in einem Konfigurationsprofil.

  2. Einstellungen in einem in com.jamf.connect.authchanger geschriebenen Konfigurationsprofil

  3. Die Identitätsdienst (OIDCProvider) oder Authentifizierungsserver (AuthServer) Einstellungen, die in die com.jamf.connect.login Domäne geschrieben sind. Diese übergeben das Argument -JamfConnect, um automatisch die Authentifizierung mit OpenID Connect oder Okta zu aktivieren.

  4. Wenn keine Argumente oder Einstellungen gefunden werden, bleiben die Standardmechanismen von loginwindow unverändert.

authchanger Befehle

Die folgenden Befehle können mit authchanger verwendet werden:
-version
Hiermit wird die Versionsnummer ausgegeben.
-help
Hiermit werden die Hilfe-Anweisungen ausgegeben.
-reset
Hiermit wird die Authentifizierungsdatenbank auf die Standardeinstellungen von macOS zurückgesetzt.
-JamfConnect

Hiermit wird das Jamf Connect Anmeldefenster aktiviert

-Notify
Hiermit wird der Notify-Bildschirm aktiviert.
-print
Hiermit werden die aktuellen Autorisierungsmechanismen ausgegeben.
-debug
Hiermit werden alle Änderungen und ihre möglichen Auswirkungen aufgeführt.
-DefaultJCRight

Hiermit wird die Authentifizierung via Jamf Connect Pluggable Authentication Module (PAM) für sudo und andere Änderungen an den Systemeinstellungen aktiviert.

-SysPrefs
Hiermit wird die PAM-Authentifizierung für die Änderung der Netzwerkeinstellungen in den Systemeinstellungen aktiviert.
-SysPrefsReset
Hiermit wird die PAM-Authentifizierung für die Änderung der Netzwerkeinstellungen in den Systemeinstellungen deaktiviert.

Sie können auch benutzerdefinierte Regeln für die Reihenfolge der Mechanismusausführung angeben:

-prelogin
Hiermit wird der Mechanismus festgelegt, der verwendet werden soll, bevor die Benutzeroberfläche angezeigt wird.
-preAuth
Hiermit wird der Mechanismus festgelegt, der zwischen der Anmelde-Benutzeroberfläche und der Authentifizierung verwendet werden soll.
-postAuth
Hiermit wird der Mechanismus festgelegt, der nach der Authentifizierung verwendet werden soll.

authchanger – Beispiele

Befehl

Beschreibung

authchanger -print

Autorisierungsdatenbank lesen

Hiermit werden die aktuellen Einstellungen der Autorisierungsdatenbank angezeigt.

sudo authchanger -reset -JamfConnect

Jamf Connect Authentifizierung aktivieren

Hiermit wird sichergestellt, dass die Autorisierungsdatenbank auf die Werkseinstellungen zurückgesetzt wird. Anschließend wird Jamf Connect Login mit einem Identitätsdienst im loginwindow aktiviert.

sudo authchanger -reset -preAuth JamfConnectLogin:DeMobilize,privileged

Einzelnen Jamf Connect Anmeldefenster-Mechanismus ausführen

Sie können Jamf Connect Login so konfigurieren, dass ein einzelner Anmeldemechanismus ausgeführt wird. In diesem Beispiel wird der Mechanismus „demobilize“ zur Laufzeit des loginwindow Prozesses ausgeführt. Somit kann sich der Benutzer über das standardmäßige macOS Anmeldefenster anmelden. Dabei wird von Jamf Connect der mobile Account im Hintergrund in einen lokalen Account auf dem Mac umgewandelt.

authchanger Konfigurationsprofil

Das folgende Konfigurationsprofil zeigt, wie Sie Argumente an authchanger übergeben:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Arguments</key>
<array>
<string>-reset</string>
<string>-JamfConnect</string>
<string>-Notify</string>
</array>
</dict>
</plist>