ケルベロス統合

Kerberos 認証を使用して、クラウドアイデンティティプロバイダ (IdP) ではなく Active Directory へのパスワード変更を直接完了するように Jamf Connect を構成できます。

ユーザのネットワークパスワードが自分の Active Directory のパスワードと一致する場合、Jamf Connect は Active Directory ドメインへの認証用の Kerberos チケットも取得できます。Jamf Connect は、ユーザ名を識別するために、ユーザのサインイン名の「@」の前にある文字を使用して、Kerberos レルムの拡張子を追加します。

構成の完了後は、Jamf Connect は、以下の方法で Active Directory ドメインとのやりとりを行います:

Jamf Connect はサイトを認識します。LDAP ping 方法論を用いて、使用するのに最適なサイトを決定します。Jamf Connect は、ドメインコントローラにアクセスできなくなるか、ネットワークが変更されるまでそのサイトを使用し続け、これによりサイト検索プロセスが再開されます。
Jamf Connect は、システムの Kerberos と LDAP のライブラリを使用しており、macOS が更新されたときにそれらが確実に更新されるようにしています。
Jamf Connect は、パスワードの有効期限ポリシーを検出することができ、パスワードの有効期限を表示するときにそれらを使用します。
Jamf Connect は、起動時やネットワークの変更時にドメインへの接続を再評価します。構成されている場合は、間隔を分単位で指定することもできます。

Jamf Connect での証明書

Jamf Connect は、Kerberos 認証を使用することで、Active Directory Web Certificate Authority (CA) から証明書を取得できます。構成がされている場合、Jamf Connect は、証明書署名要求 (CSR) を作成し、ここで提供されている証明書テンプレートを使用して Jamf Connect 構成プロファイルでで指定された URL に送信します。成功すれば、Jamf Connect は署名済み証明書をユーザのキーチェーンに配置します。

注:

証明書を取得するには、ユーザは認証機関の SSL 証明書を信頼する必要があります。

デフォルトでは、Jamf Connect は CSR のキー値の組み合わせを作成し、ユーザのキーチェーンからエクスポート不可としてそれをマークします。環境設定ファイルでこれを無効にすることができます。そのユーザ用の最新の証明書の有効期限が残り 30 日以内である場合、Jamf Connect は自動的に証明書を更新します。

注:

通常、ユーザが IdP を使用してサインインする際は Active Directory ドメインには接続されていないため、Jamf Connect はユーザとしてサインインを試行する前に、ドメインがアクセス可能な状態となるまで待機します。Jamf Connectは、ユーザのパスワードをキャッシュするのではなく、むしろユーザのキーチェーンを当てにして保存を行います。

	Jamf Connect ドキュメント
	バージョン 2.17.0 \| 他のバージョン