authchanger

La herramienta de línea de comandos authchanger se puede usar para manipular la base de datos de autenticación utilizada por la aplicación loginwindow de macOS. Incluye las siguientes funciones:

  • Determinar el orden de ejecución de los mecanismos.

  • Activar Jamf Connect para la autenticación con Okta u OpenID Connect con un proveedor de identidades (IdP) de nube

  • Restablecer el estado por omisión de la base de datos

  • Ejecutar un único mecanismo de Jamf Connect durante el proceso de loginwindow, como el mecanismo de desmovilizar.

  • Configurar Jamf Connect para ejecutar un script después del proceso de autenticación.

Se pueden ejecutar comandos authchanger desde la siguiente ruta de archivo:

/usr/local/bin/authchanger

Puedes usar la herramienta authchanger para configurar la base de datos de autenticación para la autenticación con Jamf Connect mediante cualquiera de estos métodos:

  • Ejecuta comandos authchanger mediante el script de postinstalación en el paquete de instalador de la ventana de inicio de sesión.

Nota:

  • Esta herramienta debe ejecutarse como usuario raíz para realizar cambios en la base de datos.

  • Usa el comando -reset antes de hacer cambios para asegurarte de que la base de datos de autenticación está en su estado por omisión.

  • Ejecuta comandos de authchanger manualmente en la línea de comandos.

  • Incluye argumentos de authchanger en un perfil de configuración escrito en el dominio com.jamf.connect.authchanger. Jamf Connect buscará argumentos de authchanger como una matriz de cadenas en la clave Arguments y los leerá en el orden en el que se configuren las cadenas, de modo similar a como se ordenan en la línea de comandos.

El instalador de Jamf Connect no añade ningún argumento a authchanger por omisión.

Jamf Connect buscará argumentos de authchanger en el siguiente orden después de que se instale la ventana de inicio de sesión:

  1. Comandos ejecutados mediante la línea de comandos. Veamos los siguientes escenarios:

    • Si un comando se ejecuta con argumentos, se ignorarán las preferencias encontradas en un perfil de configuración.

    • Si un comando se ejecuta sin argumentos, Jamf Connect buscará preferencias en un perfil de configuración.

  2. Preferencias encontradas en un perfil de configuración escritas en com.jamf.connect.authchanger

  3. Las preferencias de Proveedor de identidades (OIDCProvider) o Servidor de autenticación (AuthServer) escritas en el dominio com.jamf.connect.login. Estas pasan el argumento -JamfConnect para activar automáticamente la autenticación con OpenID Connect u Okta.

  4. Si no se encuentra ningún argumento o preferencia, los mecanismos de loginwindow por omisión permanecerán sin cambios.

Comandos de authchanger

Puedes usar los siguientes comandos de authchanger:
-version
Enumera el número de versión
-help
Muestra la ayuda
-reset
Restablece los ajustes de fábrica de macOS de la base de datos de autenticación
-JamfConnect

Activa Jamf Connect Login con IdP de Okta u OpenID Connect

-print
Enumera los mecanismos de autorización actuales
-debug
Enumera los cambios y sus posibles resultados
-DefaultJCRight

Activa la autenticación de Jamf Connect para sudo y otros cambios de preferencias del sistema.

También puedes especificar reglas personalizadas que determinan el orden de ejecución de los mecanismos:

-prelogin
Especifica el mecanismo que usar antes de que se muestre la IU
-preAuth
Especifica el mecanismo que usar entre la IU de inicio de sesión y la autenticación
-postAuth
Especifica el mecanismo que usar después de la autenticación

Ejemplos de authchanger

Comando

Descripción

authchanger -print

Leer la base de datos de autorización

Muestra los ajustes actuales de la base de datos de autorización.

sudo authchanger -reset -JamfConnect

Activar autenticación con Jamf Connect

Restablece los valores por omisión de la base de datos de autorización y activa Jamf Connect Login con un IdP en la aplicación loginwindow.

sudo authchanger -reset -preAuth JamfConnectLogin:DeMobilize,privileged

Ejecutar un único mecanismo de Jamf Connect Login

Puedes configurar Jamf Connect Login para ejecutar un único mecanismo de inicio de sesión. Este ejemplo solo ejecuta el mecanismo «demobilize» (Desmovilizar) durante el proceso loginwindow. Esto permite a los usuarios iniciar sesión usando la ventana de inicio de sesión de macOS por omisión mientras Jamf Connect convierte la cuenta móvil en una cuenta local en el Mac en segundo plano.

Perfil de configuración de authchanger

El siguiente perfil de configuración muestra cómo pasar argumentos a authchanger:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Arguments</key>
<array>
<string>-reset</string>
<string>-JamfConnect</string>
<string>-Notify</string>
</array>
</dict>
</plist>