Módulo de autenticación acoplable

El módulo de autenticación acoplable (PAM) es una herramienta de autenticación que permite a los usuarios utilizar su contraseña de red con el comando sudo en lugar de usar su contraseña local. PAM se incluye en todas las instalaciones de Jamf Connect y se almacena en los ordenadores en la siguiente ubicación:

/usr/local/lib/pam/pam_saml.so.2

Importante:

Es muy importante probar con antelación los procesos con el PAM en un entorno distinto al de producción.

Activación del módulo de autenticación acoplable

  1. Ejecuta el siguiente comando de authchanger para activar la autenticación PAM con Jamf Connect:
    /usr/local/bin/authchanger -DefaultJCRight
  2. En Terminal, ejecuta el siguiente comando para acceder al perfil de configuración PAM:
    sudo vi /etc/pam.d/sudo
  3. Introduce tu contraseña local.
  4. Activa el modo de edición y realiza una de estas acciones:
    Nota:

    Se puede mostrar un aviso al intentar editar un archivo de solo lectura. Edita el archivo y consulta el paso 5 para guardar los cambios.

    1. Para permitir (pero no requerir) la autenticación de red para comandos sudo, añade la siguiente entrada:
      auth sufficient pam_saml.so

    2. Para requerir la autenticación de red para comandos sudo, haz lo siguiente:

      Añade la siguiente entrada:

      auth required pam_saml.so

      Aplica un comentario para excluir la entrada pam_opendirectory.so añadiendo el símbolo de almohadilla (#) al principio de esa línea.

  5. Pulsa la tecla Escape para salir del modo de edición. A continuación, escribe y cierra el archivo de solo lectura ejecutando el siguiente comando en la parte inferior de la ventana de Terminal: :wq!

    El cursor se traslada automáticamente al final de la ventana de Terminal cuando salgas del modo de edición.

  6. Configura las preferencias del módulo PAM en tu perfil de configuración de ventana de inicio de sesión.

El módulo PAM ahora pedirá a los usuarios que se autentiquen con tu IdP cada vez que se intente ejecutar un comando sudo.

Experiencia del usuario final con el módulo de autenticación acoplable

Si se activa el módulo de autenticación acoplable (PAM), puedes usar el comando sudo para autenticarte con tu proveedor de identidades (IdP) de nube.

  1. En Terminal, ejecuta cualquier comando sudo, como el siguiente:
    sudo -s
    Aparecerá la pantalla de inicio de sesión de tu IdP.
  2. Introduce tu nombre de usuario y contraseña de red para autenticarte.
    Nota:

    Si has configurado la autenticación de red para que sea suficiente pero no obligatoria, al cerrar la ventana de inicio de sesión, macOS te pedirá que en su lugar introduzcas tu contraseña en Terminal. Si has configurado la autenticación de red como obligatoria, al cerrar la ventana de inicio de sesión, la autenticación fallará.

    Una vez autenticado, el comando sudo se ejecutará correctamente en Terminal.