Integración de Kerberos
Puedes configurar Jamf Connect para usar autenticación Kerberos para completar cambios de contraseña directamente en Active Directory, en lugar de usar un proveedor de identidades (IdP) de nube.
Jamf Connect también puede obtener tickets de Kerberos para la autenticación en un dominio de Active Directory si la contraseña de red del usuario coincide con su contraseña de Active Directory. Para determinar el nombre de usuario, Jamf Connect usa los caracteres que preceden al carácter «@» del nombre de inicio de sesión del usuario y añade el sufijo del reino de Kerberos.
Cuando está configurado, Jamf Connect interactúa con el dominio de Active Directory de las siguientes maneras:
Jamf Connect tiene en cuenta el sitio. Utiliza metodología de ping de LDAP para determinar el mejor sitio. Jamf Connect sigue usando ese sitio hasta que pierde el acceso a un controlador de dominio o cambia la red, lo cual reinicia el proceso de búsqueda de sitios.
Jamf Connect usa el sistema Kerberos y bibliotecas LDAP para asegurarse de que están actualizados cuando se actualiza macOS.
Jamf Connect puede detectar políticas de caducidad de contraseña y las utiliza cuando muestra un aviso de caducidad de contraseña.
Jamf Connect reevalúa la conexión con el dominio durante el inicio y en los cambios de red. Si se configura, también puedes especificar un intervalo en minutos.
Certificados con Jamf Connect
Jamf Connect puede obtener certificados desde una autoridad certificadora (CA) web de Active Directory usando la autenticación Kerberos. Si se configura, Jamf Connect crea una solicitud de firma de certificado (CSR) y la envía a la URL especificada en tu perfil de configuración de Jamf Connect usando la plantilla de certificado facilitada ahí. Si tiene éxito, Jamf Connect coloca el certificado firmado en el llavero del usuario.
Para obtener certificados, los usuarios deben confiar en el certificado SSL de la CA.
Por omisión, Jamf Connect crea un par de clave-valor para la CSR y lo marca como no exportable del llavero del usuario. Esto se puede desactivar en el archivo de preferencias. Jamf Connect renueva automáticamente el certificado si al certificado más reciente para ese usuario le quedan menos de 30 días de validez.
Como el usuario no suele estar conectado al dominio de Active Directory al iniciar sesión con un IdP, Jamf Connect espera a que el dominio esté accesible antes de intentar iniciar sesión como el usuario. Jamf Connect no almacena en caché la contraseña del usuario, sino que usa el llavero del usuario para dicho almacenamiento.