Modification de l’application loginwindow macOS

Vous pouvez utiliser la commande security pour modifier manuellement l’application loginwindow dans macOS.
  1. Dans Terminal, exécutez la commande suivante :
    security authorizationdb read system.login.console
  2. À l’aide de votre éditeur de texte préféré, modifiez le tableau des mécanismes XML.
  3. Rechargez la liste à l’aide de la commande de sécurité suivante, exécutée en tant que root :
    sudo security authorizationdb write system.login.console < newest.xml
Remarque :

Si l’application de loginwindow est en cours d’exécution, vous devez la redémarrer pour appliquer vos modifications. Si aucun utilisateur n’est actuellement connecté à l’ordinateur, vous pouvez fermer l’application de loginwindow en tant que root avec la commande suivante : sudo killall loginwindow

Si un utilisateur est actuellement connecté à l’ordinateur, il doit se déconnecter.

De plus, il peut être utile de laisser un compte d’administrateur local connecté à une session du Finder, puis d’activer la permutation rapide d’utilisateur vers la fenêtre d’ouverture de session. L’utilisation de la commande killall ci-dessus arrêtera toutes les sessions Finder en cours d’exécution, y compris celles de votre compte d’administrateur local.

Remarque :

La permutation rapide d’utilisateur doit être activée sur l’ordinateur pour pouvoir utiliser cette fonctionnalité. Accédez à Préférences Système > Utilisateurs et groupes > Options d’ouverture de session.

Activation et désactivation de la fenêtre d’ouverture de session Jamf Connect

Vous pouvez activer et désactiver la fenêtre d’ouverture de session Jamf Connect pour vous aider à résoudre les problèmes et restaurer rapidement la fenêtre d’ouverture de session macOS par défaut.

Exécutez l’une des commandes suivantes pour activer ou désactiver la fenêtre d’ouverture de session.
Activer la fenêtre d’ouverture de session
sudo authchanger -reset -jamfconnect
Désactiver la fenêtre d’ouverture de session
sudo authchanger -reset

Restauration de la base de données d’autorisation

Si la fenêtre d’ouverture de session Jamf Connect ne charge pas et que les autres étapes de mise en conformité n’ont pas fonctionné, vous pouvez remplacer la base de données d’autorisation en renommant le fichier auth.db et en demandant au système de le remplacer par une copie par défaut.

  1. Démarrez l’ordinateur en mode de récupération.
  2. Ouvrez l’app Utilitaire de disque et montez le lecteur système.
    1. Si FileVault est activé sur le Mac, montez le volume de données. Le nom par défaut de ce volume est MacintoshHD-Data.
    2. Si FileVault n’est pas activé sur le Mac, trouvez l’emplacement du lecteur système en accédant à /Volumes dans Terminal, puis en identifiant le nom du lecteur système local. Le nom par défaut de ce volume est /Volumes/Macintosh\ HD/.
  3. Quittez l’app Utilitaire de disque.
  4. Dans la barre de menus, accédez à Utilitaires > Terminal.
    La fenêtre Terminal s’ouvre.
  5. Renommez le fichier de la base de données d’autorisation.
    1. Si le Mac utilise un nom de volume par défaut (MacintoshHD-Data or /Volumes/Macintosh\ HD/), renommez le fichier de la base de données d’autorisation en exécutant la commande mv suivante : mv /Volumes/Macintosh\ HD/var/db/auth.db /Volumes/Macintosh\ HD/var/db/auth.db.bak.
    2. Si le Mac utilise un nom de volume personnalisé, renommez le fichier de la base de données d’autorisation en exécutant la commande mv suivante :
      mv /Volumes/SYSTEM_DRIVE_NAME/var/db/auth.db /Volumes/SYSTEM_DRIVE_NAME/var/db/auth.db.bak.
  6. Éteignez et redémarrez l’ordinateur.

La fenêtre d’ouverture de session macOS standard s’affiche.

Lecture des mécanismes de loginwindow

Pour afficher le mécanisme de loginwindow actuellement installé sur un ordinateur, exécutez la commande suivante :
security authorizationdb read system.login.console
Un XML au format PLIST similaire à ce qui suit doit s’afficher :
<key>mechanisms</key>
<array>
<string>builtin:policy-banner</string>
<string>JamfConnectLogin:LoginUI</string>
<string>JamfConnectLogin:PowerControl,privileged</string>
<string>JamfConnectLogin:CreateUser,privileged</string>
<string>JamfConnectLogin:DeMobilize,privileged</string>
<string>builtin:login-begin</string>
<string>builtin:reset-password,privileged</string>
<string>builtin:forward-login,privileged</string>
<string>builtin:auto-login,privileged</string>
<string>builtin:authenticate,privileged</string>
<string>PKINITMechanism:auth,privileged</string>
<string>builtin:login-success</string>
<string>loginwindow:success</string>
<string>loginwindow:FDESupport,privileged</string>
<string>HomeDirMechanism:login,privileged</string>
<string>HomeDirMechanism:status</string>
<string>MCXMechanism:login</string>
<string>CryptoTokenKit:login</string>
<string>loginwindow:done</string>
<string>JamfConnectLogin:EnableFDE,privileged</string>
<string>JamfConnectLogin:KeyChainAdd,privileged</string>
</array>

La clé Mechanisms (Mécanismes) indique les réglages du loginwindow sous la forme d’un tableau de chaînes. Les mécanismes définis comme privileged (Privilégiés) invitent le loginwindow à exécuter le mécanisme en tant qu’utilisateur root. Le seul mécanisme macOS intégré supprimé par Jamf Connect est loginwindow:login, qui affiche la fenêtre de connexion macOS standard.