Pluggable Authentication Module

Pluggable Authentication Module (PAM) は、ローカルパスワードではなく、sudo コマンドでのネットワークパスワードの使用が可能となる認証ツールです。PAM はすべての Jamf Connect インストールに含まれており、コンピュータ上の次の場所に保存されます。

/usr/local/lib/pam/pam_saml.so.2

重要: 最初に、実稼働環境以外の環境で PAM を使用してワークフローをテストすることをお勧めします。

Pluggable Authentication Module の有効化

以下の手順を完了すると、Pluggable Authentication Module (PAM) を有効化することができます:

  1. (Oktaのみ) 次の authchanger コマンドを実行して、Jamf Connect で PAM 認証を有効にします。

    /usr/local/bin/authchanger -DefaultJCRight
  2. ご利用の構成プロファイルで PAM モジュールの環境設定を構成します。詳細情報については、Pluggable Authentication Module (PAM) の設定を参照してください。

  3. Terminal で、次のコマンドを実行し、PAM 構成プロファイルにアクセスします。

    sudo vi /etc/pam.d/sudo

  4. ローカルパスワードを入力します。

  5. 編集モードに入り、以下のいずれかを行ってください。

    注: 読み取り専用のファイルを編集しようとすると、警告が表示される場合があります。ファイルの編集を続行し、手順 6 を参照して変更を保存します。

    1. sudo コマンドに対してネットワーク認証を利用できるようにする (求めるようにするわけではありません) には、以下のエントリを追加してください。

      auth sufficient pam_saml.so

      images/download/attachments/81539323/PAM_Enable.png

    2. sudo コマンドに対してネットワーク認証を求めるには、以下を行ってください。

      1. 以下のエントリを追加してください。

        auth required pam_saml.so

      2. 番号記号 (#) を行の最初に追加することにより pam_opendirectory.so のエントリをコメントアウトしてください。

        images/download/attachments/81539323/PAM_required.png

  6. Esc キーを押して編集モードを終了し、Terminal ウィンドウの一番下で以下のコマンドを実行することにより、その読み取り専用ファイルを書き込んで終了します。

    :wq!

    編集モードを終了すると、カーソルが自動的に Terminal ウィンドウの最後に移動します。

PAM モジュールでは、sudo コマンドが試行された際に、ユーザに IdP での認証を求めるプロンプトを表示するようになります。

Pluggable Authentication Module のユーザエクスペリエンス

Pluggable Authentication Module (PAM) が有効化された後は、sudo コマンドを使用してクラウドアイデンティティプロバイダ (IdP) による認証を行うことができます。

  1. Terminal で任意の sudo コマンドを実行します。例:

    sudo -s

    IdP のログイン画面が表示されます。

    images/download/attachments/81539650/Screen_Shot_2020-02-19_at_3.41.36_PM.png

  2. 認証用のネットワークユーザ名とパスワードを入力します。

    注: ネットワーク認証を充分であり必須ではないように構成した場合、ログインウィンドウを閉じると、macOS がプロンプト画面を表示し、Terminal にパスワードを代わりに入力するように求められます。ネットワーク認証を必須になるように構成した場合、ログインウィンドウを閉じると、認証が失敗します。

    認証が終わると、Terminal で sudo コマンドが正常に実行します。

Pluggable Authentication Module (PAM) 設定

ドメイン: com.jamf.connect.login

説明: コンピュータで PAM 認証を有効にするのに使用します。

キー

説明

AuthUIOIDCProvider

アイデンティティプロバイダ (PAM)

Pluggable Authentication Module (PAM) で認証に使用するアイデンティティプロバイダを指定します

<key>AuthUIOIDCProvider</key>

<string>insert-identity-provider</string>

AuthUIOIDCClientID

クライアント ID (PAM)

PAM で認証に使用されるアイデンティティプロバイダの作成済み Jamf Connect App のクライアント ID

<key>AuthUIOIDCClientID</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

AuthUIOIDCRedirectURI

リダイレクト URI (PAM)

アイデンティティプロバイダの作成済み Jamf Connect App により使用されるリダイレクト URI

<key>AuthUIOIDCRedirectURI</key>

<string>https://127.0.0.1/jamfconnect</string>

AuthUIOIDCTenant

テナント ID (PAM)

PAM で認証に使用されるアイデンティティプロバイダのテナント

注: Okta が IdP の場合、このキーは必須です。

<key>AuthUIOIDCTenant</key>

<string>dev-123456</string>

AuthUIOIDCClientSecret

クライアントシークレット (PAM)

IdP の Jamf Connect App のクライアントシークレット。この値は Jamf Connect と IdP によってのみ既知です。

<key>AuthUIOIDCClientSecret</key>

<string>9fcc52c7-ee36-4889-8517-lkjslkjoe23</string>

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2020 Jamf. All rights reserved.