Pluggable Authentication Module

Pluggable Authentication Module (PAM) は、ローカルパスワードではなく、sudo コマンドでのネットワークパスワードの使用が可能となる認証ツールです。PAM はすべての Jamf Connect インストールに含まれており、コンピュータ上の次の場所に保存されます。

/usr/local/lib/pam/pam_saml.so.2

重要:

必ず本番環境以外の環境で PAM を使用してワークフローをテストするようにしてください。

Pluggable Authentication Module の有効化

次の authchanger コマンドを実行して、Jamf Connect で PAM 認証を有効にします。
```
/usr/local/bin/authchanger -DefaultJCRight
```
Terminal で、次のコマンドを実行し、PAM 構成プロファイルにアクセスします。
```
sudo vi /etc/pam.d/sudo
```
ローカルパスワードを入力します。
編集モードに入り、以下のいずれかを行ってください。
注:
読み取り専用のファイルを編集しようとすると、警告が表示される場合があります。ファイルの編集を続行し、手順 5 を参照して変更を保存します。
1. sudo コマンドに対してネットワーク認証を利用できるようにする (求めるようにするわけではありません) には、以下のエントリを追加してください。
```
auth sufficient pam_saml.so
```
2. sudo コマンドに対してネットワーク認証を求めるには、以下を行ってください。
  以下のエントリを追加してください。
```
auth required pam_saml.so
```
  番号記号 (#) を行の最初に追加することにより pam_opendirectory.so のエントリをコメントアウトしてください。
Esc キーを押して編集モードを終了し、Terminal ウィンドウの一番下で以下のコマンドを実行することにより、その読み取り専用ファイルを書き込んで終了します。:wq!
編集モードを終了すると、カーソルが自動的に Terminal ウィンドウの最後に移動します。
ログインウィンドウの構成プロファイルで PAM モジュールの環境設定を構成します。

PAM モジュールでは、sudo コマンドが試行された際に、ユーザに IdP での認証を求めるプロンプトを表示するようになります。

Pluggable Authentication Module のエンドユーザ環境

Pluggable Authentication Module (PAM) が有効化された後は、sudo コマンドを使用してクラウドアイデンティティプロバイダ (IdP) による認証を行うことができます。

Terminal で任意の sudo コマンドを実行します。例:
```
sudo -s
```
IdP のログイン画面が表示されます。
認証用のネットワークユーザ名とパスワードを入力します。
注:
ネットワーク認証を充分であり必須ではないように構成した場合、ログインウィンドウを閉じると、macOS がプロンプト画面を表示し、Terminal にパスワードを代わりに入力するように求められます。ネットワーク認証を必須になるように構成した場合、ログインウィンドウを閉じると、認証が失敗します。
認証が終わると、Terminal で sudo コマンドが正常に実行します。

	Jamf Connect ドキュメント
	バージョン 2.17.0 \| 他のバージョン