Kerberos egyszeri bejelentkezés bővítmény Apple-eszközökkel
A Kerberos egyszeri bejelentkezés (Kerberos SSO) bővítmény leegyszerűsíti azt a folyamatot, amelynek során a Kerberos jegyengedélyező jegy (TGT) lekérése megtörténik a szervezet helyszíni Active Directory-doménjéből vagy más identitásszolgáltató doménjéből. Ennek következtében a felhasználók zökkenőmentesen hitelesíthetik magukat a különféle erőforrások használatakor, például a webhelyeken, az appokban és a fájlszervereken.
Követelmények a Kerberos SSO bővítmény használatához
A Kerberos SSO bővítmény használatához az alábbiakkal kell rendelkeznie:
Olyan mobileszköz-felügyeleti (MDM) megoldással adminisztrált eszközök, amely támogatást biztosít a bővíthető egyszeri bejelentkezés (SSO) konfigurációs profiljának adatcsomagjához.
Hozzáférés a hálózathoz, amely a helyszíni Active Directory-domént üzemelteti. Ez a hálózati hozzáférés Wi-Fi-, Ethernet- vagy VPN-kapcsolaton keresztül lehetséges.
Active Directory-domén, amely Windows Server 2008 vagy újabb rendszert használ. A Kerberos SSO-bővítmény nem használható együtt a Microsoft Entra ID szolgáltatással, mivel ennek használatához egy hagyományos helyszíni Active Directory-domén szükséges.
A bővítmény iOS, iPadOS és visionOS 1.1 rendszerben
iOS, iPadOS és visionOS 1.1 rendszerben a Kerberos SSO-bővítmény kizárólag a HTTP 401 egyeztetési kérdés fogadását követően aktiválódik. Az akkumulátor-üzemidővel való takarékosság érdekében ez a bővítmény a lekérdezésig nem kér Active Directory-helykódot, illetve nem frissíti a Kerberos TGT-t.
Az iOS, az iPadOS és a visionOS 1.1 rendszerhez rendelkezésre álló Kerberos SSO-bővítmény a következőket tartalmazza:
Hitelesítési módszerek: Támogatja a számos különböző hitelesítési módszert, ide értve a jelszavakat és a tanúsítványidentitásokat (PKINIT). A tanúsítványidentitás CryptoTokenKit intelligens kártyán, egy MDM által biztosított identitáson vagy a helyi kulcskarikán lehet rajta. A bővítmény továbbá támogatja az Active Directory-jelszó módosítását, ha a hitelesítési párbeszédablak egy különálló webhelyre mutató linket jelenít meg vagy használ.
A jelszó lejárata: Közvetlenül a hitelesítést, a jelszómódosításokat követően, illetve nap közben rendszeres időközönként lekéri a jelszó lejárati adatait. Ezen információ segítségével megadhatók a jelszólejárati értesítések és új hitelesítési adatok igényelhetők, ha a felhasználó módosította a jelszavát egy másik eszközön.
VPN-támogatás: Számos különböző hálózati konfigurációt támogat, többek között a különböző VPN-technológiákat (pl. apponkénti VPN). Ha az apponkénti VPN használatban van, a Kerberos SSO bővítmény kizárólag akkor használja az apponkénti VPN-t, ha a kérelmező appot vagy webhelyet konfigurálták annak használatára.
Domain reachability (Domén elérhetősége): LDAP ping doménen történő használatával Active Directory helykódokat kérelmezhet és gyorsítótárazhat a doménhez csatlakozó aktuális hálózati kapcsolathoz. Megosztja a helykódot a Kerberos-kérelmekkel a további folyamatokhoz, mindezt annak érdekében, hogy takarékoskodjon az akkumulátor energiájával. További információkért tekintse meg az alábbi Microsoft dokumentációt: 6.3.3 LDAP Ping.
Egyeztetési kérdések: Képes a webhelyek HTTP 401 egyeztetési kihívások, az NSURLSession kérelmek és a háttérben futtatott NSURLSession feladatok kezelésére.
A bővítmény a macOS rendszerben
A macOS rendszerben a Kerberos SSO-bővítmény a hálózati állapot módosulásakor proaktívan begyűjti a Kerberos TGT-t, ezzel biztosítva, hogy a felhasználó szükség esetén készen áll a hitelesítésre. A Kerberos SSO bővítmény abban is segíti a felhasználókat, hogy a saját Active Directory-fiókjaikat kezeljék. Továbbá, lehetővé teszi a felhasználók számára, hogy módosítsák az Active Directory-jelszavakat, és értesíti őket, ha a jelszó hamarosan lejár. Ezenkívül a felhasználók módosíthatják a helyi fiókjelszavaikat, hogy azok egyezzenek az Active Directory-jelszavakkal.
A Kerberos SSO bővítményt egy helyszíni Active Directory-doménnel együtt kell használni. Az eszközöket nem kell csatlakoztatni egy Active Directory doménhez a Kerberos SSO-bővítmény használatához. Ezenkívül a felhasználóknak nem szükséges Active Directory- vagy mobil fiókkal bejelentkezniük a Macjükre – az Apple azt javasolja, hogy inkább helyi fiókokat használjanak.
A felhasználóknak hitelesíteniük kell a Kerberos SSO-bővítménnyel. Ezt a folyamatot számos módon indíthatják el:
Ha a Macet olyan hálózathoz csatlakoztatják, ahol elérhető az Active Directory domén, a rendszer a kibővíthető SSO konfigurációs profil telepítését követően azonnal felkéri a felhasználót a hitelesítésre.
Ha a profilt korábban már telepítették, azon esetekben, amikor a Macet egy olyan hálózathoz csatlakoztatják, ahol elérhető az Active Directory domén, a rendszer azonnal felkéri a felhasználót a hitelesítésre.
Ha Safari vagy más app segítségével próbálnak hozzáférni egy olyan webhelyhez, amely elfogadja vagy igényli a Kerberos-hitelesítést, a rendszer felkéri a felhasználót a hitelesítésre.
Ha a felhasználó a Kerberos SSO-bővítmény menüextrát választja, majd a Bejelentkezés elemre kattint.
A macOS rendszerhez rendelkezésre álló Kerberos SSO-bővítmény a következőket tartalmazza:
Hitelesítési módszerek: A bővítmény számos különböző hitelesítési módszert támogat, ide értve a jelszavakat és a tanúsítványidentitásokat (PKINIT). A tanúsítványidentitás CryptoTokenKit intelligens kártyán, egy MDM által biztosított identitáson vagy a helyi kulcskarikán lehet rajta. A bővítmény továbbá támogatja az AD-jelszó módosítását, ha a hitelesítési párbeszédablak egy különálló webhelyre mutató linket jelenít meg vagy használ.
A jelszó lejárata: A bővítmény lekéri a jelszó lejárati adatait a doménről közvetlenül a hitelesítést és a jelszómódosításokat követően, illetve nap közben rendszeres időközönként. Ezen információ segítségével megadhatók a jelszólejárati értesítések és új hitelesítési adatok igényelhetők, ha a felhasználó módosította a jelszavát egy másik eszközön.
VPN-támogatás: A bővítmény számos különböző hálózati konfigurációt támogat (pl. VPN-szolgáltatások, mint például az apponkénti VPN-ek). Ha a VPN egy Network Extension VPN, az automatikusan aktiválja a kapcsolatot a jelszavak hitelesítésekor vagy módosításakor. Ellenben, ha a kapcsolat apponkénti VPN kapcsolat, a Kerberos SSO bővítmény menüextra minden esetben mutatja, hogy a hálózat elérhető. Ez azért van, mert a vállalati hálózat elérhetőségét egy LDAP ping segítségével állapítja meg. Amikor az apponkénti VPN szétkapcsol, az LDAP ping újracsatlakoztatja azt, amelynek következtében látszólag egy folyamatos apponkénti VPN kapcsolat jön létre. A valóságban a Kerberos SSO bővítmény a Kerberos-forgalomhoz kerül aktiválásra igény szerint.
Adja hozzá a következő bejegyzéseket az App–appréteg-VPN hozzárendelése funkcióhoz a Kerberos SSO bővítmény apponkénti VPN-nel történő használatához:
com.apple.KerberosExtension a következő erre a célra kijelölt követelményazonosítóval: com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent a következő erre a célra kijelölt követelményazonosítóval: com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra a következő erre a célra kijelölt követelménnyel: identifier com.apple.KerberosMenuExtra and anchor apple
Domain reachability (Domén elérhetősége): A bővítmény LDAP ping doménen történő használatával kérelmezhet, majd gyorsítótárazhat AD helykódokat a doménhez csatlakozó aktuális hálózati kapcsolathoz. Ezt az akkumulátor élettartamának megőrzése érdekében végzi el. Továbbá megosztja a webhelykódot más folyamatok Kerberos-kérelmeivel is. További információkért tekintse meg az alábbi Microsoft dokumentációt: 6.3.3 LDAP Ping.
Kerberos TGT refresh (Kerberos TGT frissítés): A bővítmény minden esetben megpróbálja frissen tartani a Kerberos TGT-t. Ezt a hálózati kapcsolatok és a Kerberos-gyorsítótár módosításainak megfigyelésével éri el. Ha elérhető vállalati hálózaton új jegyre van szüksége, a hálózat proaktívan kérelmez egy új jegyet. Ha a felhasználó az automatikus bejelentkezés mellett dönt, a bővítmény zökkenőmentesen új jegyet kérelmez, amíg le nem jár a felhasználó jelszava. Ha a felhasználó nem az automatikus bejelentkezés mellett dönt, a Kerberos hitelesítési adatok lejártakor (általában 10 órán belül) a rendszer felkéri őt a hitelesítési adatok megadására.
Jelszó szinkronizálása: A bővítmény szinkronizálja a helyi fiókjelszavakat az Active Directory-jelszavakkal. A kezdeti szinkronizálást követően megfigyeli a helyi és az Active Directory-fiók jelszavának módosításai dátumait, amely segítségével meg tudja állapítani, hogy a fiók jelszavai szinkronizálva vannak-e. A bejelentkezési próbálkozás helyett a dátumok segítségével akadályozza meg a helyi vagy az AD-fiók kizárását, túl sok sikertelen próbálkozás esetén.
Run scripts (Szkriptek futtatása): A bővítmény értesítéseket tesz közzé különböző események bekövetkezésekor. Ezek az értesítések aktiválhatnak végrehajtandó szkripteket, ezzel támogatva a funkció bővítését. A rendszer értesítéseket küld ahelyett, hogy közvetlenül végrehajtaná a szkripteket, mivel a Kerberos-bővítmények folyamatok sandboxban vannak és a sandbox segít megakadályozni, hogy a szkriptek lefuthassanak. Továbbá létezik egy parancssori eszköz, az
app-sso, amely lehetővé teszi a szkriptek számára, hogy beolvassák a bővítmény állapotát és alapvető műveleteket (pl. bejelentkezés) kérelmezzenek.Menüextra: A bővítmény egy menüextrával is rendelkezik, amely segítségével a felhasználó bejelentkezhet, újrakapcsolódhat, módosíthatja a jelszót, kijelentkezhet és megtekintheti a kapcsolat állapotát. Az újracsatlakozás lehetőség minden esetben új TGT-t kér le, illetve frissíti a jelszó lejárati információit a doménről.
Fiókhasználat
A Kerberos SSO-bővítmény nem igényli a Mac Active Directoryhoz történő társítását vagy a felhasználó Macre mobil fiók segítségével történő bejelentkezését. Az Apple a Kerberos SSO-bővítmény helyi fiókkal együtt történő használatát javasolja. A Kerberos SSO-bővítményt kifejezetten az Active Directory helyi fiókból történő feljavítása céljából hozták létre. Azonban, a mobil fiókok használata mellett továbbra is használhatja a Kerberos SSO-bővítményt. Mobil fiókokkal történő használat esetén:
A jelszó szinkronizálás nem fog működni. Ha a Kerberos SSO-bővítmény segítségével módosítja az Active Directory jelszavát, és ugyanazzal a felhasználói fiókkal van bejelentkezve a Macjén, mint amivel a Kerberos SSO-bővítményt használja, a jelszómódosítások hasonlóan funkcionálnak, mint a Felhasználók és csoportok beállításpanelen. Azonban, külső jelszócsere elvégzésekor (tehát, ha megváltoztatja a jelszót egy webhelyen, vagy az informatikai részleg visszaállítja azt) a Kerberos SSO-bővítmény nem képes szinkronizálni a mobil fiók jelszavát az Active Directory jelszavával.
A Kerberos-bővítmény jelszómódosítási URL-címmel történő használata nem támogatott.