authchanger

コマンドラインツール authchanger を使用すると、macOS loginwindow アプリケーションが使用する認証データベースを操作することができます。次の機能があります。

  • メカニズム実行の順序を決定する。

  • クラウドアイデンティティプロバイダ (IdP) を使用して Okta 向け Jamf Connect、または OpenID Connect 認証を有効にする。

  • データベースをデフォルトの状態にリセットする

  • ログインウィンドウプロセス中に、モバイル化の解除メカニズムなどの単一の Jamf Connect メカニズムを実行します。

  • Jamf Connect を構成して、認証プロセス後にスクリプトを実行する

authchanger コマンドは次のファイルパスから実行できます。

/usr/local/bin/authchanger

authchanger を使用して、Jamf Connect で認証をする認証データベースを以下のいずれかの方法で設定することができます:

  • ログインウィンドウのインストーラパッケージのポストインストールスクリプトで authchanger コマンドを実行します。

注:

  • データベースを変更するには、このツールを root として実行する必要があります。

  • 変更を加える前に、-reset コマンドを使用し、認証データベースがそのデフォルト設定の状態であることを確認してください。

  • コマンドラインで authchanger コマンドを手動実行します。

  • com.jamf.connect.authchanger ドメインに書き込まれた構成プロファイルに authchanger 引数を含めます。Jamf Connectは、Arguments キーで authchanger 引数を文字列の配列として探し、コマンドラインでの文字列の並び順と同じように、構成された順番で読み込んでいきます。

Jamf Connect インストーラはデフォルトでは authchanger に引数を追加しません。

Jamf Connect はログインウィンドウのインストール後、以下の順番で authchanger の引数を探します:

  1. コマンドラインを介してコマンドを実行しました。次のシナリオを見てください。

    • コマンドを引数で実行した場合、構成プロファイルで検出された環境設定は無視されます。

    • コマンドが引数なしで実行された場合、Jamf Connect は構成プロファイルの環境設定を探します。

  2. com.jamf.connect.authchanger に書き込まれた構成プロファイル内の環境設定

  3. Com.jamf.connect.login ドメインに書き込まれた Identity Provider (アイデンティティプロバイダ) (OIDCProvider) または Auth Server (認証サーバ) (AuthServer) 環境設定。これらは -JamfConnect 引数を渡して OpenID Connect または Okta 認証を自動的に有効化します。

  4. 引数や環境設定が見つからない場合、デフォルトのログインウィンドウのメカニズムは変更されません。

authchanger のコマンド

次の authchanger コマンドが使用できます。
-version
バージョン番号を一覧表示する
-help
ヘルプステートメントを一覧表示する
-reset
認証データベースを macOS のデフォルト設定にリセットする
-JamfConnect

Jamf Connect ログインウィンドウを有効にする

-Notify
Notify (通知) 画面を有効にする
-print
現在の認証メカニズムを一覧表示する
-debug
変更とそれにより起こり得る結果を一覧表示する
-DefaultJCRight

Jamf Connect PAM (Pluggable Authentication Module) 認証を有効にして、sudo および他のシステム環境設定の変更に使用できるようにします。

-SysPrefs
System Preferences (システム環境設定) でネットワーク設定を変更する際に PAM 認証を有効にします。
-SysPrefsReset
System Preferences (システム環境設定) でネットワーク設定を変更する際に PAM 認証を無効にします。

メカニズム実行の順序を決定するカスタム規則を指定することもできます。

-prelogin
UI 表示の前に使用されるメカニズムを指定する
-preAuth
ログイン UI と認証の間に使用されるメカニズムを指定する
-postAuth
認証の後に使用されるメカニズムを指定する

authchanger の例

コマンド

説明

authchanger -print

認証データベースを読み込む

現在の認証データベースの設定を表示する

sudo authchanger -reset -JamfConnect

Jamf Connect 認証の有効化

認証データベースが工場出荷時のデフォルト設定にリセットされていることを確認し、続いて ログインウィンドウでの IdP を使用して Jamf Connect Login を有効にします。

sudo authchanger -reset -preAuth JamfConnectLogin:DeMobilize,privileged

単一の Jamf Connect ログインウィンドウメカニズムを実行する

Jamf Connect Login を構成して、単一のログインメカニズムを実行します。この例では、ログインウィンドウプロセス中に「demobilize (モバイル化の解除)」メカニズムのみを実行します。これにより、ユーザはデフォルトの macOS ログインウィンドウを使用してログインできますが、Jamf Connect はバックグラウンドで Mac 上のモバイルアカウントをローカルアカウントに変換します。

/usr/local/bin/authchanger -reset -JamfConnect -Notify

Jamf Connect 通知メカニズムを有効にする

ログインウィンドウアプリケーションに通知メカニズムを追加します。

通知画面の詳細については、通知画面 を参照してください。

/usr/local/bin/authchanger -reset -preAuth JamfConnectLogin:Notify
Jamf Connect ログインウィンドウメカニズムをスキップする

Jamf Connect ログインウィンドウをスキップし、通知メカニズムのみを表示します。

通知画面の詳細については、通知画面 を参照してください。

authchanger 構成プロファイル

次の構成プロファイルは、authchanger へ引数を渡す方法を示しています。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Arguments</key>
<array>
<string>-reset</string>
<string>-JamfConnect</string>
<string>-Notify</string>
</array>
</dict>
</plist>