Pluggable Authentication Module

Das PAM (Pluggable Authentication Module) ist ein Authentifizierungsmodul, das es Benutzern ermöglicht, ihr Netzwerkpasswort anstelle ihres lokalen Passworts für den sudo Befehl zu benutzen. Das PAM ist in jeder Jamf Connect Installation enthalten und wird in folgendem Verzeichnis auf dem jeweiligen Computer gespeichert:

/usr/local/lib/pam/pam_saml.so.2

Wichtig:

Testen Sie Workflows mit dem PAM zunächst außerhalb Ihrer Produktionsumgebung.

Aktivieren des PAM

  1. Führen Sie den folgenden authchanger Befehl aus, um in Jamf Connect die Authentifizierung mit dem PAM zu aktivieren:
    /usr/local/bin/authchanger -DefaultJCRight
  2. Öffnen Sie in Terminal das PAM Konfigurationsprofil, indem Sie den folgenden Befehl ausführen:
    sudo vi /etc/pam.d/sudo
  3. Geben Sie Ihr lokales Passwort ein.
  4. Aktivieren Sie den Bearbeitungsmodus und führen Sie eine der folgenden Aktionen aus:
    Hinweis:

    Beim Versuch, eine schreibgeschützte Datei zu bearbeiten, wird möglicherweise eine Warnmeldung angezeigt. Fahren Sie mit der Bearbeitung der Datei fort und befolgen Sie dann die Anweisungen in Schritt 5, um die Änderungen zu speichern.

    1. Wenn für Befehle mit sudo die Netzwerkauthentifizierung möglich, jedoch nicht obligatorisch erforderlich sein soll, geben Sie Folgendes ein:
      auth sufficient pam_saml.so

    2. Wenn die Netzwerkauthentifizierung für Befehle mit sudo obligatorisch erforderlich sein soll, führen Sie folgende Schritte aus:

      Fügen Sie den folgenden Eintrag hinzu:

      auth required pam_saml.so

      Kommentieren Sie den Eintrag pam_opendirectory.so aus, indem Sie am Anfang dieser Zeile ein Rautesymbol (#) einfügen.

  5. Drücken Sie die Esc-Taste, um den Bearbeitungsmodus zu verlassen. Speichern und schließen Sie dann die schreibgeschützte Datei, indem Sie unten im Terminal Fenster den folgenden Befehl eingeben: :wq!

    Nachdem Sie den Bearbeitungsmodus verlassen haben, sollte Ihr Cursor automatisch zum unteren Rand des Terminal Fensters wechseln.

  6. Konfigurieren Sie die PAM Einstellungen in Ihrem Anmeldefenster-Konfigurationsprofil.

Das PAM sollte jetzt bei jedem Versuch, einen sudo Befehl auszuführen, den Benutzer dazu auffordern, sich bei Ihrem Identitätsdienst zu authentifizieren.

Benutzererfahrung bei Verwendung des PAM

Wenn das PAM (Pluggable Authentication Module) aktiviert ist, können Sie, wenn Sie den sudo Befehl benutzen, sich bei Ihrem Cloud-Identitätsdienst authentifizieren.

  1. Führen Sie in Terminal mit sudo einen beliebigen Befehl aus, wie z. B. den folgenden:
    sudo -s
    Der Anmeldebildschirm Ihres Identitätsdienstes wird angezeigt.
  2. Geben Sie Ihren Benutzernamen und Ihr Passwort für das Netzwerk ein, um sich zu authentifizieren.
    Hinweis:

    Wenn Sie festgelegt haben, dass die Netzwerkauthentifizierung möglich, jedoch nicht obligatorisch erforderlich ist, wird der Benutzer beim Schließen des Anmeldefensters unter macOS aufgefordert, stattdessen in Terminal sein Passwort einzugeben. Ist die Netzwerkauthentifizierung obligatorisch erforderlich, schlägt der Authentifizierungsvorgang fehl, wenn der Benutzer das Anmeldefenster schließt.

    Nach der Authentifizierung sollte der sudo Befehl in Terminal erfolgreich ausgeführt werden.