Kerberos-Integration

Sie können Jamf Connect zur Verwendung von einer auf Kerberos basierenden Authentifizierung konfigurieren, um Passwortänderungen statt mit einem cloudbasierten Identitätsdienst direkt mit Active Directory durchzuführen.

Jamf Connect kann auch Kerberos Tickets zur Authentifizierung bei einer Active Directory Domäne beziehen, wenn das Netzwerkpasswort des Benutzers mit dem für Active Directory übereinstimmt. Zur Bestimmung des Benutzernamens wird in Jamf Connect die Zeichenfolge vor dem „@“-Zeichen im Anmeldenamen des Benutzers ausgewertet. An diese wird der Kerberos Bereich als Suffix angehängt.

Wenn Kerberos konfiguriert ist, interagiert Jamf Connect auf folgende Weise mit der Active Directory Domäne:

  • Jamf Connect unterstützt verschiedene Standorte. Der bestmögliche Standort wird mittels einer LDAP-Ping-Methode ermittelt. Dieser Standort wird von Jamf Connect verwendet, solange ein Domänencontroller erreichbar ist und keine Änderungen am Netzwerk vorgenommen werden. Andernfalls wird ein neuer Suchvorgang gestartet.

  • Jamf Connect greift auf die Kerberos und LDAP-Bibliotheken des Systems zurück, damit sichergestellt ist, dass diese bei einer Aktualisierung von macOS ebenfalls aktualisiert werden.

  • Jamf Connect kann Richtlinien zum Ablauf von Passwörtern erkennen und benutzt sie zum Anzeigen von Hinweisen auf ablaufende Passwörter.

  • Die Verbindung mit der Domäne wird von Jamf Connect beim Startvorgang und nach Netzwerkänderungen neu geprüft. Es kann auch ein Intervall in Minuten angegeben werden, sofern dies konfiguriert wird.

Zertifikate mit Jamf Connect

Jamf Connect kann nach der Authentifizierung bei Kerberos auch Zertifikate von einer Active Directory Web-Zertifizierungsstelle abrufen. Wenn diese Option konfiguriert ist, wird von Jamf Connect eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt und mithilfe der dort angegebenen Zertifikatvorlage an die in Ihrem Jamf Connect Konfigurationsprofil festgelegte URL gesendet. Wird die Zertifikatsignieranforderung erfolgreich bearbeitet, wird das signierte Zertifikat von Jamf Connect im Schlüsselbund des Benutzers gespeichert.

Hinweis:

Um Zertifikate zu erhalten, müssen die Benutzer dem SSL-Zertifikat der Zertifizierungsstelle vertrauen.

Standardmäßig wird von Jamf Connect ein Schlüssel-Wert-Paar für die Zertifikatsignieranforderung erstellt und als nicht aus dem Schlüsselbund des Benutzers exportierbar markiert. Diese Funktion kann mit der Einstellungsdatei deaktiviert werden. Das Zertifikat wird von Jamf Connect automatisch erneuert, wenn das aktuelle Zertifikat des jeweiligen Benutzers in weniger als 30 Tagen ungültig wird.

Hinweis:

Da der Benutzer zum Zeitpunkt der Anmeldung bei einem Identitätsdienst normalerweise noch nicht mit der Active Directory Domäne verbunden ist, wartet Jamf Connect ab, bis die Domäne erreichbar ist, bevor ein Anmeldeversuch mit dem Benutzernamen erfolgt. Das Benutzerpasswort wird von Jamf Connect nicht zwischengespeichert, sondern vom Schlüsselbund des Benutzers abgerufen.