Module d’authentification enfichable

Le module PAM (Pluggable Authentication Module) est un outil d’authentification qui permet aux utilisateurs d’utiliser leur mot de passe réseau avec la commande sudo, plutôt que leur mode de passe local. Inclus dans toutes les installations de Jamf Connect, PAM est stocké sur les ordinateurs, dans l’emplacement suivant :

/usr/local/lib/pam/pam_saml.so.2

Important :

Assurez-vous de tester d’abord les workflows avec le module PAM dans un environnement différent de votre environnement de production.

Activation du module PAM (Pluggable Authentication Module)

  1. Exécutez la commande authchanger suivante pour activer l’authentification PAM avec Jamf Connect :
    /usr/local/bin/authchanger -DefaultJCRight
  2. Dans Terminal, accédez au profil de configuration PAM en exécutant la commande suivante :
    sudo vi /etc/pam.d/sudo
  3. Saisissez votre mot de passe local.
  4. Passez en mode édition, puis procédez comme suit :
    Remarque :

    Un avertissement peut s’afficher lorsque vous essayez de modifier un fichier en lecture seule. Continuez à modifier le fichier, puis reportez-vous à l’étape 5 pour enregistrer vos modifications.

    1. Pour autoriser (sans exiger) l’authentification réseau pour les commandes sudo, ajoutez l’entrée suivante :
      auth sufficient pam_saml.so

    2. Pour exiger l’authentification réseau pour les commandes sudo, procédez comme suit :

      Ajoutez l’entrée suivante :

      auth required pam_saml.so

      Commentez l’entrée pam_opendirectory.so en ajoutant un symbole dièse (#) au début de cette ligne.

  5. Appuyez sur la touche Echap pour quitter le mode éditeur, puis écrivez et quittez le fichier en lecture seule en exécutant la commande suivante au bas de la fenêtre Terminal : :wq!

    Votre curseur se déplace automatiquement vers le bas de la fenêtre Terminal une fois que vous avez quitté le mode éditeur.

  6. Configurez les préférences du module PAM dans le profil de configuration de votre fenêtre d’ouverture de session.

Le module PAM devrait maintenant inviter les utilisateurs à s’authentifier avec votre IdP à chaque fois qu’une commande sudo est tentée.

Expérience utilisateur final du module PAM (Pluggable Authentication Module)

Si le module PAM est activé, vous pouvez utiliser la commande sudo pour vous authentifier auprès de votre fournisseur d’identité cloud (IdP).

  1. Dans Terminal, exécutez une commande sudo, par exemple :
    sudo -s
    L'écran de connexion à votre IdP apparaît.
  2. Entrez votre nom d’utilisateur réseau et votre mot de passe pour vous authentifier.
    Remarque :

    Si vous avez configuré l’authentification réseau de sorte qu’elle soit autorisée, mais pas requise, lors de la fermeture de la fenêtre d’ouverture de session, macOS vous invitera à saisir votre mot de passe dans Terminal. Si vous avez configuré l’authentification réseau de sorte qu’elle soit requise, la fermeture de la fenêtre d’ouverture de session entraînera l’échec de l’authentification.

    Une fois que vous êtes authentifié, la commande sudo devrait s’exécuter avec succès dans Terminal.