Jamf Connect Sync と Kerberos の統合

ユーザの Okta パスワードが自分の Active Directory のパスワードと一致する場合、Jamf Connect Sync は Active Directory ドメインへの認証用の Kerberos チケットを取得できます。Jamf Connect Sync は、ユーザ名を識別するために、ユーザのサインイン名の「@」の前にある文字を使用して、Kerberos レルムの拡張子を追加します。

Kerberos 認証を使用することで、Active Directory Web Certificate Authority (CA) から証明書を取得することもできます。

Kerberos の構成

Jamf Connect Sync で Kerberos を有効にする前に、以下の手順を完了する必要があります。

  1. ユーザが自分のパスワードを自分のキーチェーンに保存していることを確認する – Okta にサインインするときに、ユーザは通常 Active Directory ドメインに接続されていないため、Jamf Connect Sync はユーザとしてのサインインを試みる前にドメインが到達可能になるまで待機します。Jamf Connect Sync は、ユーザのパスワードをキャッシュするのではなく、むしろユーザのキーチェーンを当てにして保存を行います。Kerberos 認証が失敗した場合、Jamf Connect Sync は認証を再試行しません。代わりに、アプリケーションはキーチェーンからパスワードを削除して、パスワードが再び使用できないようにしてから、ユーザをコンピュータから閉め出します。

  2. Kerberos レルムを定義する – 通常では、すべて大文字で表記した Active Directory ドメインのバージョンが使用されます。Jamf Connect Sync は、Kerberos レルムを使用して、ユーザの Kerberos プリンシパルを構築し、ユーザがドメインに到達できるかどうかを判断します。

  3. Jamf Connect Sync で Kerberos チケットを有効にする – ユーザは、Jamf Connect Sync の Preferences (環境設定) メニューで Get Kerberos Tickets (Kerberos チケットを取得する) を選択することで、Kerberos を有効にすることができます。または、コンピュータを対象とした構成プロファイルで TicketsOnSignIn キーを true に設定することもできます。

Active Directory の作用

Jamf Connect Sync は、以下の方法で Active Directory ドメインとやりとりします。

  • Jamf Connect Sync はサイトを認識します。LDAP Ping 方法論を用いて、使用するのに最適なサイトを決定します。Jamf Connect Sync は、ドメインコントローラにアクセスできなくなるか、ネットワークが変更されるまでそのサイトを使用し続け、これによりサイト検索プロセスが再開されます。

  • Jamf Connect Sync は、システムの Kerberos と LDAP のライブラリを使用しており、macOS が更新されたときにそれらが確実に更新されるようにしています。

  • アプリケーションは、Windows 2016 から Windows 2000 までの機能レベルをサポートしています。

  • Jamf Connect Sync は、パスワードの有効期限ポリシーを検出することができ、パスワードの有効期限を表示するときにそれらを使用します。

  • Jamf Connect Sync は、起動時やネットワークの変更時にドメインへの接続を再評価します。構成されている場合は、間隔を分単位で指定することもできます。

証明書

Jamf Connect Sync は、Kerberos 認証を使用することで、Active Directory Web Certificate Authority (CA) から証明書を取得できます。構成されている場合、Jamf Connect Sync は、証明書署名要求 (CSR) を作成し、そこに提供されている証明書テンプレートを使用してPreferencesで指定されたURLに送信します。成功すれば、Jamf Connect Sync は署名済み証明書をユーザのキーチェーンに配置します。

注: Jamf Connect Sync がこれを行えるようにするには、ユーザは CA の SSL 証明書を信頼していなければなりません。

デフォルトでは、Jamf Connect Sync は CSR のキーの組み合わせを作成し、ユーザのキーチェーンからエクスポート不可としてそれをマークします。環境設定ファイルでこれを無効にすることができます。

そのユーザ用の最新の証明書の有効期限が残り 30 日以内である場合、Jamf Connect Sync は自動的に証明書を更新します。

関連情報

本ガイドの以下のセクションに詳細が記載されています。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2019 Jamf. All rights reserved.