Pluggable Authentication Module (PAM)

Pluggable Authentication Module (PAM) は、sudo コマンドと Jamf Connect Login の併用を可能にする認証ツールです。PAM はすべての Jamf Connect Login インストールに含まれており、コンピュータ上の次の場所に保存されます。

/usr/local/lib/pam/pam_saml.so.2

重要: 最初に、実稼働環境以外の環境で以下のワークフローをテストすることをお勧めします。

PAM を有効にする

ユーザが、コマンドラインにローカル管理者のパスワードを入力するのではなく、ネットワーク認証を使用できるようにするには、以下の手順を完了してください。

  1. (Oktaのみ) 次の authchanger コマンドを実行して、Jamf Connect Login で PAM 認証を有効にします。

    /usr/local/bin/authchanger -DefaultJCRight
  2. 以下の環境設定キーをご利用の Jamf Connect Login 構成プロファイルに追加します。

    Pluggable Authentication Module (PAM) 設定

    キー

    説明

    AuthUIOIDCProvider

    アイデンティティプロバイダ (PAM)

    Pluggable Authentication Module (PAM) で認証に使用するアイデンティティプロバイダを指定します

    <key>AuthUIOIDCProvider</key>

    <string>insert-identity-provider</string>

    AuthUIOIDCClientID

    クライアント ID (PAM)

    PAM で認証に使用されるアイデンティティプロバイダの作成済み Jamf Connect App のクライアント ID

    <key>AuthUIOIDCClientID</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

    AuthUIOIDCRedirectURI

    リダイレクト URI (PAM)

    アイデンティティプロバイダの作成済み Jamf Connect App により使用されるリダイレクト URI

    <key>AuthUIOIDCRedirectURI</key>

    <string>https://127.0.0.1/jamfconnect</string>

    AuthUIOIDCTenant

    テナント ID (PAM)

    PAM で認証に使用されるアイデンティティプロバイダのテナント

    注: Okta が IdP の場合、このキーは必須です。

    <key>AuthUIOIDCTenant</key>

    <string>dev-123456</string>

    AuthUIOIDCClientSecret

    クライアントシークレット (PAM)

    IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

    <key>AuthUIOIDCClientSecret</key>

    <string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

  3. Terminal で、次のコマンドを実行し、PAM 構成プロファイルにアクセスします。

    sudo vi /etc/pam.d/sudo

  4. ローカルパスワードを入力します。

  5. 編集モードに入り、以下のいずれかを行ってください。

    注: 読み取り専用のファイルを編集しようとすると、警告が表示される場合があります。ファイルの編集を続行し、手順 6 を参照して変更を保存します。

    1. sudo コマンドに対してネットワーク認証を利用できるようにする (求めるようにするわけではありません) には、以下のエントリを追加してください。

      auth sufficient pam_saml.so

      images/download/attachments/80745454/PAM_Enable.png

    2. sudo コマンドに対してネットワーク認証を求めるには、以下を行ってください。

      1. 以下のエントリを追加してください。

        auth required pam_saml.so

      2. 番号記号 (#) を行の最初に追加することにより pam_opendirectory.so のエントリをコメントアウトしてください。

        images/download/attachments/80745454/PAM_required.png
  6. Esc キーを押して編集モードを終了し、Terminal ウィンドウの一番下で以下のコマンドを実行することにより、その読み取り専用ファイルを書き込んで終了します。

    :wq!

    注: 編集モードを終了すると、カーソルが自動的に Terminal ウィンドウの最後に移動します。

PAM による認証

PAM が有効になった後は、sudo コマンドを使用してクラウドアイデンティティプロバイダ (IdP) による認証を行うことができます。

  1. Terminal で任意の sudo コマンドを実行します。例:

    sudo -s

    images/download/attachments/80745454/Screen_Shot_2020-02-19_at_3.41.36_PM.png
    IdP ログインウィンドウが表示されます。

  2. 認証用のネットワークユーザ名とパスワードを入力します。

    注: ネットワーク認証を充分であり必須ではないように構成した場合、ログインウィンドウを閉じると、macOS がプロンプト画面を表示し、Terminal にパスワードを代わりに入力するように求められます。ネットワーク認証を必須になるように構成した場合、ログインウィンドウを閉じると、認証が失敗します。

    認証が終わると、Terminal で sudo コマンドが完了します。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2020 Jamf. All rights reserved.