Intégration Kerberos

Vous pouvez configurer Jamf Connect de manière à utiliser l’authentification Kerberos pour effectuer les changements de mot de passe directement dans Active Directory, plutôt qu’auprès d’un fournisseur d’identité cloud (IdP).

Jamf Connect peut obtenir des tickets Kerberos pour l’authentification sur un domaine Active Directory si le mot de passe réseau de l’utilisateur correspond à son mot de passe Active Directory. Pour déterminer le nom d’utilisateur, Jamf Connect utilise les caractères précédant le symbole « @ » dans le nom de connexion de l’utilisateur et ajoute le suffixe du royaume Kerberos.

Lorsque configuré pour cela, Jamf Connect interagit avec le domaine Active Directory de la manière suivante :

  • Jamf Connect est capable d’identifier les sites disponibles. Il utilise une méthodologie de ping LDAP pour déterminer le meilleur site à utiliser. Jamf Connect continue d’utiliser ce site jusqu’à ce qu’il ne puisse plus atteindre un contrôleur de domaine ou que le réseau change, ce qui réinitialise le processus de recherche des sites.

  • Jamf Connect utilise les bibliothèques système Kerberos et LDAP pour s’assurer qu’elles sont mises à jour lorsque le système macOS est actualisé.

  • Jamf Connect peut détecter les règles d’expiration des mots de passe et les appliquer lorsqu’un avis d’expiration de mots de passe s’affiche.

  • Jamf Connect réévalue la connexion au domaine lors du démarrage et des modifications de réseau. Si cette option est configurée, vous pouvez également spécifier un intervalle, en minutes.

Certificats avec Jamf Connect

Jamf Connect peut également obtenir des certificats auprès d’une autorité de certification (CA) Web Active Directory en utilisant l’authentification Kerberos. Si cette option est configurée, Jamf Connect crée une demande de signature de certificat (CSR) et la soumet à l’URL spécifiée dans le profil de configuration de Jamf Connect à l’aide du modèle de certificat fourni. Si l’opération réussit, Jamf Connect place le certificat signé dans le trousseau de l’utilisateur.

Remarque :

Pour obtenir des certificats, les utilisateurs doivent approuver le certificat SSL de la CA.

Par défaut, Jamf Connect crée une paire clé-valeur pour la demande CSR et la marque comme non exportable depuis le trousseau de l’utilisateur. Cette option peut être désactivée dans le fichier des préférences. Jamf Connect renouvelle automatiquement le certificat si le certificat le plus récent de cet utilisateur affiche moins de 30 jours de validité.

Remarque :

Comme l’utilisateur n’est généralement pas connecté au domaine Active Directory lorsqu’il se connecte avec un IdP, Jamf Connect attend que le domaine soit accessible avant de tenter de se connecter en tant qu’utilisateur. Jamf Connect ne met pas en cache le mot de passe de l’utilisateur, mais utilise le trousseau de l’utilisateur à des fins de stockage.