Επέκταση ενιαίας σύνδεσης Kerberos με συσκευές Apple
Η επέκταση «Ενιαία σύνδεση Kerberos» (SSO Kerberos) απλοποιεί τη διαδικασία απόκτησης ενός TGT (Δελτίο έκδοσης δελτίων) Kerberos από τον επιτόπιο τομέα Active Directory του οργανισμού σας ή έναν τομέα άλλου παρόχου ταυτότητας, και αυτό επιτρέπει στους χρήστες τον απρόσκοπτο έλεγχο ταυτότητας σε πόρους όπως ιστότοποι, εφαρμογές και διακομιστές αρχείων.
Απαιτήσεις για χρήση της επέκτασης SSO Kerberos
Για χρήση της επέκτασης «Ενιαία σύνδεση Kerberos», πρέπει να έχετε τα εξής:
Συσκευές διαχειριζόμενες από λύση MDM (Διαχείριση φορητών συσκευών) με υποστήριξη για το φορτίο προφίλ διαμόρφωσης «Επεκτάσιμη ενιαία σύνδεση».
Πρόσβαση στο δίκτυο όπου φιλοξενείται ο επιτόπιος τομέας Active Directory. Η δικτυακή πρόσβαση μπορεί να είναι μέσω Wi-Fi, Ethernet ή VPN.
Τομέας Active Directory που χρησιμοποιεί Windows Server 2008 ή μεταγενέστερη έκδοση. Η επέκταση SSO Kerberos δεν προορίζεται για χρήση με το Microsoft Entra ID, το οποίο απαιτεί έναν παραδοσιακό επιτόπιο τομέα Active Directory.
Η επέκταση σε iOS, iPadOS και visionOS 1.1
Σε iOS, iPadOS και visionOS 1.1, η επέκταση «Ενιαία σύνδεση Kerberos» ενεργοποιείται μόνο μετά τη λήψη μιας πρόκλησης διαπραγμάτευσης HTTP 401. Για εξοικονόμηση της διάρκειας ζωής της μπαταρίας, αυτή η επέκταση δεν ζητά κωδικούς ιστότοπων Active Directory ούτε ανανεώνει ένα δελτίο εκχώρησης Kerberos (TGT) μέχρι να προκύψει μια πρόκληση.
Οι δυνατότητες της επέκτασης «Ενιαία σύνδεση Kerberos» για iOS, iPadOS και visionOS 1.1 περιλαμβάνουν τα εξής:
Μέθοδοι ελέγχου ταυτότητας: Υποστήριξη για πολλαπλές διαφορετικές μεθόδους ελέγχου ταυτότητας, συμπεριλαμβανομένων συνθηματικών και ταυτοτήτων πιστοποιητικών (PKINIT). Η ταυτότητα πιστοποιητικού μπορεί να είναι σε μια έξυπνη κάρτα CryptoTokenKit, μια ταυτότητα που παρέχεται από MDM, ή η τοπική κλειδοθήκη. Η επέκταση υποστηρίζει επίσης την αλλαγή του συνθηματικού Active Directory όταν το πλαίσιο διαλόγου ελέγχου ταυτότητας εμφανίζει ή χρησιμοποιεί μια διεύθυνση URL σε ξεχωριστό ιστότοπο.
Λήξη συνθηματικού: Ζητά πληροφορίες λήξης συνθηματικού από τον τομέα αμέσως μετά τον έλεγχο ταυτότητας, μετά από αλλαγές συνθηματικού, και περιοδικά κατά τη διάρκεια της ημέρας. Αυτές οι πληροφορίες χρησιμοποιούνται για παροχή γνωστοποιήσεων λήξης συνθηματικού και για αιτήματα νέων διαπιστευτηρίων αν ο χρήστης αλλάξει το συνθηματικό του σε άλλη συσκευή.
Υποστήριξη VPN: Υποστηρίζει πολλές διαφορετικές διαμορφώσεις δικτύου, συμπεριλαμβανομένων διαφόρων τεχνολογιών VPN, όπως το VPN ανά εφαρμογή. Αν χρησιμοποιείται το VPN ανά εφαρμογή, η επέκταση «Ενιαία σύνδεση Kerberos» χρησιμοποιεί το VPN ανά εφαρμογή μόνο όταν η αιτούσα εφαρμογή ή ιστότοπος έχει διαμορφωθεί για χρήση του VPN ανά εφαρμογή.
Προσβασιμότητα σε τομείς: Χρησιμοποιήστε ένα LDAP ping στον τομέα για να ζητήσετε και στη συνέχεια να αποθηκεύσετε στην cache τους κωδικούς ιστότοπων Active Directory για την τρέχουσα σύνδεση δικτύου στον τομέα. Μοιράζεται τον κωδικό ιστότοπου με αιτήματα Kerberos για άλλες διαδικασίες με σκοπό την εξοικονόμηση της διάρκειας ζωής της μπαταρίας. Για πληροφορίες, ανατρέξτε στο πληροφοριακό υλικό της Microsoft 6.3.3 LDAP Ping.
Προκλήσεις διαπραγμάτευσης: Χειρίζεται προκλήσεις διαπραγμάτευσης HTTP 401 για ιστότοπους, αιτήματα NSURLSession και εργασίες παρασκηνίου NSURLSession.
Η επέκταση στο macOS
Στο macOS, η επέκταση «Ενιαία σύνδεση Kerberos» λαμβάνει προδραστικά ένα δελτίο εκχώρησης Kerberos (TGT) όταν προκύπτουν αλλαγές της κατάστασης δικτύου, ώστε να διασφαλιστεί ότι ο χρήστης είναι έτοιμος για έλεγχο ταυτότητας όταν χρειαστεί. Η επέκταση SSO Kerberos βοηθά επίσης τους χρήστες στη διαχείριση των λογαριασμών Active Directory τους. Επιπρόσθετα, επιτρέπει στους χρήστες να αλλάξουν τα συνθηματικά τους για το Active Directory και τους ειδοποιεί αν πλησιάζει η ημερομηνία λήξης ενός συνθηματικού. Οι χρήστες μπορούν επίσης να αλλάξουν το συνθηματικό τοπικού λογαριασμού τους ώστε να είναι ίδιο με το συνθηματικό τους για το Active Directory.
Η επέκταση SSO Kerberos πρέπει να χρησιμοποιείται με έναν επιτόπιο τομέα Active Directory. Οι συσκευές δεν χρειάζεται να συνδεθούν σε τομέα Active Directory για χρήση της επέκτασης «Ενιαία σύνδεση Kerberos». Επιπρόσθετα, οι χρήστες δεν χρειάζεται να πραγματοποιήσουν είσοδο στους υπολογιστές Mac τους με λογαριασμό Active Directory ή φορητό λογαριασμό. Αντ’ αυτού, η Apple συνιστά τη χρήση τοπικών λογαριασμών.
Οι χρήστες πρέπει να πραγματοποιούν έλεγχο ταυτότητας μέσω της επέκτασης «Ενιαία σύνδεση Kerberos». Μπορούν να εκκινήσουν αυτήν τη διαδικασία με διάφορους τρόπους:
Αν το Mac είναι συνδεδεμένο στο δίκτυο όπου είναι διαθέσιμος ο τομέας Active Directory, εμφανίζεται μήνυμα στον χρήστη για έλεγχο ταυτότητας αμέσως μετά την εγκατάσταση του προφίλ διαμόρφωσης Επεκτάσιμης ενιαίας σύνδεσης.
Αν το προφίλ είναι ήδη εγκατεστημένο, κάθε φορά που το Mac συνδέεται σε ένα δίκτυο όπου είναι διαθέσιμος ο τομέας Active Directory, εμφανίζεται αμέσως μήνυμα στον χρήστη για έλεγχο ταυτότητας.
Αν το Safari ή μια άλλη εφαρμογή χρησιμοποιείται για πρόσβαση σε έναν ιστότοπο που δέχεται ή απαιτεί έλεγχο ταυτότητας Kerberos, εμφανίζεται μήνυμα στον χρήστη για έλεγχο ταυτότητας.
Ο χρήστης μπορεί να επιλέξει το πρόσθετο μενού της επέκτασης «Ενιαία σύνδεση Kerberos» και μετά να κάνει κλικ στη «Σύνδεση».
Οι δυνατότητες της επέκτασης «Ενιαία σύνδεση Kerberos» για macOS περιλαμβάνουν τα εξής:
Μέθοδοι ελέγχου ταυτότητας: Η επέκταση υποστηρίζει πολλαπλές διαφορετικές μεθόδους ελέγχου ταυτότητας, συμπεριλαμβανομένων συνθηματικών και ταυτοτήτων πιστοποιητικών (PKINIT). Η ταυτότητα πιστοποιητικού μπορεί να είναι σε μια έξυπνη κάρτα CryptoTokenKit, μια ταυτότητα που παρέχεται από MDM, ή η τοπική κλειδοθήκη. Η επέκταση υποστηρίζει επίσης την αλλαγή του συνθηματικού Active Directory όταν το πλαίσιο διαλόγου ελέγχου ταυτότητας εμφανίζει ή χρησιμοποιεί μια διεύθυνση URL σε ξεχωριστό ιστότοπο.
Λήξη συνθηματικού: Η επέκταση ζητά πληροφορίες λήξης συνθηματικού από τον τομέα αμέσως μετά τον έλεγχο ταυτότητας, μετά από αλλαγές συνθηματικού, και περιοδικά κατά τη διάρκεια της ημέρας. Αυτές οι πληροφορίες χρησιμοποιούνται για παροχή γνωστοποιήσεων λήξης συνθηματικού και για αιτήματα νέων διαπιστευτηρίων αν ο χρήστης αλλάξει το συνθηματικό του σε άλλη συσκευή.
Υποστήριξη VPN: Η επέκταση υποστηρίζει πολλές διαφορετικές διαμορφώσεις δικτύου, συμπεριλαμβανομένων των υπηρεσιών VPN, όπως το VPN ανά εφαρμογή. Αν το VPN είναι επέκταση δικτύου VPN, ενεργοποιεί αυτόματα μια σύνδεση κατά τον έλεγχο ταυτότητας ή την αλλαγή συνθηματικών. Σε αντίθεση, αν η σύνδεση είναι VPN ανά εφαρμογή, το πρόσθετο μενού της επέκτασης SSO Kerberos δείχνει πάντα ότι το δίκτυο είναι διαθέσιμο. Αυτό επειδή χρησιμοποιεί ένα LDAP Ping για να προσδιορίσει τη διαθεσιμότητα του εταιρικού δικτύου. Όταν το VPN ανά εφαρμογή αποσυνδέεται, το LDAP Ping το επανασυνδέει, και προκύπτει κάτι που μοιάζει με μια συνεχή σύνδεση VPN ανά εφαρμογή. Στην πραγματικότητα, η επέκταση Kerberos SSO ενεργοποιήθηκε για την κίνηση Kerberos κατ’ απαίτηση.
Προσθέστε τις ακόλουθες καταχωρίσεις στην Αντιστοίχιση VPN επιπέδου εφαρμογής προς εφαρμογή για να χρησιμοποιήσετε την επέκταση Kerberos SSO με το VPN ανά εφαρμογή:
com.apple.KerberosExtension με χρήση του καθορισμένου αναγνωριστικού απαίτησης com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent με χρήση του καθορισμένου αναγνωριστικού απαίτησης com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra με χρήση του καθορισμένου αναγνωριστικού απαίτησης: identifier com.apple.KerberosMenuExtra and anchor apple
Προσβασιμότητα σε τομείς: Η επέκταση χρησιμοποιεί ένα LDAP ping στον τομέα για να ζητήσει και στη συνέχεια να αποθηκεύσει στην cache τους κωδικούς ιστότοπων Active Directory για την τρέχουσα σύνδεση δικτύου στον τομέα. Αυτό έχει σχεδιαστεί ειδικά για εξοικονόμηση της διάρκειας ζωής της μπαταρίας. Μοιράζεται επίσης τον κωδικό ιστότοπου με αιτήματα Kerberos για άλλες διαδικασίες. Για πληροφορίες, ανατρέξτε στο πληροφοριακό υλικό της Microsoft 6.3.3 LDAP Ping.
Ανανέωση TGT Kerberos: Η επέκταση προσπαθεί να διατηρεί πάντα το TGT Kerberos σας ανανεωμένο. Αυτό γίνεται παρακολουθώντας τις συνδέσεις δικτύου και τις αλλαγές της cache Kerberos. Όταν το εταιρικό σας δίκτυο είναι διαθέσιμο και χρειαστεί ένα νέο δελτίο, ζητά προδραστικά ένα νέο δελτίο. Αν ο χρήστης επιλέξει να συνδεθεί αυτόματα, η επέκταση ζητά απρόσκοπτα ένα νέο δελτίο μέχρι να λήξει το συνθηματικό του χρήστη. Αν ο χρήστης δεν επιλέξει να συνδέεται αυτόματα, θα εμφανιστεί μήνυμα για διαπιστευτήρια όταν λήξει το διαπιστευτήριό του για το Kerberos, συνήθως σε 10 ώρες.
Συγχρονισμός συνθηματικών: Η επέκταση συγχρονίζει το συνθηματικό του τοπικού λογαριασμού με το συνθηματικό Active Directory. Μετά τον αρχικό συγχρονισμό, παρακολουθεί τις ημερομηνίες αλλαγής του συνθηματικού τοπικού λογαριασμού και του λογαριασμού Active Directory για να προσδιορίσει αν τα συνθηματικά των λογαριασμών εξακολουθούν να είναι συγχρονισμένα. Χρησιμοποιεί τις ημερομηνίες αντί να επιχειρήσει είσοδο ώστε να αποτρέψει το κλείδωμα του τοπικού λογαριασμού ή του λογαριασμού AD λόγω πολλών αποτυχημένων αποπειρών.
Εκτέλεση σκριπτ: Η επέκταση αναρτά γνωστοποιήσεις όταν συμβαίνουν διάφορα γεγονότα. Αυτές οι γνωστοποιήσεις μπορούν να ενεργοποιήσουν την εκτέλεση σκριπτ για υποστήριξη της επέκτασης της λειτουργικότητας. Αποστέλλονται γνωστοποιήσεις αντί της άμεσης εκτέλεσης σκριπτ, διότι οι διαδικασίες επέκτασης Kerberos βρίσκονται σε περιοριστικό περιβάλλον το οποίο δεν επιτρέπει την εκτέλεση των σκριπτ. Υπάρχει επίσης ένα εργαλείο γραμμής εντολών, το
app-sso, που επιτρέπει στα σκριπτ να διαβάζουν την κατάσταση της επέκτασης και να ζητούν κοινές ενέργειες όπως σύνδεση.Πρόσθετα μενού: Η επέκταση περιλαμβάνει ένα πρόσθετο μενού που επιτρέπει στον χρήστη να συνδεθεί, να επανασυνδεθεί, να αλλάξει το συνθηματικό, να αποσυνδεθεί και να προβάλει την κατάσταση σύνδεσης. Η επιλογή επανασύνδεσης ανακτά πάντα ένα νέο TGT και ανανεώνει τις πληροφορίες λήξης συνθηματικού από τον τομέα.
Χρήση λογαριασμού
Η οθόνη σύνδεσης της επέκτασης «Ενιαία σύνδεση Kerberos» δεν απαιτεί το Mac σας να είναι δεσμευμένο στο Active Directory ή ο χρήστης να έχει πραγματοποιήσει είσοδο στο Mac με φορητό λογαριασμό. Η Apple συνιστά να χρησιμοποιείτε την επέκταση «Ενιαία σύνδεση Kerberos» με έναν τοπικό λογαριασμό. Η επέκταση «Ενιαία σύνδεση Kerberos» δημιουργήθηκε συγκεκριμένα για βελτίωση της ενσωμάτωσης Active Directory από τοπικό λογαριασμό. Ωστόσο, αν επιλέξετε να συνεχίσετε να χρησιμοποιείτε φορητούς λογαριασμούς, μπορείτε να εξακολουθήσετε να χρησιμοποιείτε την επέκταση «Ενιαία σύνδεση Kerberos». Κατά τη χρήση με φορητούς λογαριασμούς:
Ο συγχρονισμός συνθηματικών δεν θα λειτουργεί. Αν χρησιμοποιήσετε την επέκταση «Ενιαία σύνδεση Kerberos» για αλλαγή του συνθηματικού σας στο Active Directory και έχετε πραγματοποιήσει είσοδο στο Mac σας με τον ίδιο λογαριασμό χρήστη που χρησιμοποιείτε με την επέκταση «Ενιαία σύνδεση Kerberos», οι αλλαγές συνθηματικού λειτουργούν με τον ίδιο τρόπο όπως από το τμήμα προτιμήσεων Χρηστών και ομάδων. Αν όμως πραγματοποιήσετε εξωτερική αλλαγή συνθηματικού, δηλαδή αν αλλάξετε το συνθηματικό σας σε έναν ιστότοπο ή αν η τοπική σας υπηρεσία βοήθειας επαναφέρει το συνθηματικό σας, η επέκταση «Ενιαία σύνδεση Kerberos» δεν θα μπορεί να συγχρονίσει εκ νέου το συνθηματικό φορητού λογαριασμού σας με το συνθηματικό σας στο Active Directory.
Η χρήση διεύθυνσης URL αλλαγής συνθηματικού με την επέκταση Kerberos δεν υποστηρίζεται.