Kerberos Single Sign-on-tillägg med Apple-enheter
Kerberos Single Sign-on-tillägget (Kerberos SSO) gör det enklare att skaffa en Kerberos TGT-biljett (ticket-granting ticket) från organisationens interna Active Directory eller någon annan identitetsleverantörsdomän så att det går smidigt att autentisera till resurser som webbplatser, appar och filservrar.
Krav för att använda Kerberos SSO-tillägg
Du måste ha följande för att kunna använda Kerberos-tillägget för enkel inloggning:
Enheter som hanteras med en MDM-lösning som har stöd för konfigurationsprofilnyttolasten Extensible Single Sign-on (SSO).
Åtkomst till nätverket där den interna Active Directory-domänen finns. Nätverksåtkomsten kan ske via Wi-Fi, Ethernet eller VPN.
En Active Directory-domän som använder Windows Server 2008 eller senare. Kerberos SSO-tillägget är inte avsett att användas med Microsoft Entra ID som kräver en traditionell, intern Active Directory-domän.
Tillägget i iOS, iPadOS och visionOS 1.1
I iOS, iPadOS och visionOS 1.1 aktiveras Kerberos SSO-tillägget endast när en HTTP 401 Negotiate-utmaning har tagits emot. I syfte att spara batteritid efterfrågar tillägget inte Active Directory-webbplatskoder eller uppdaterar en Kerberos-TGT förrän det utmanas.
Kerberos SSO-tilläggsfunktionerna för iOS, iPadOS och visionOS 1.1 inkluderar följande:
Authentication methods: Lägger till stöd för flera olika autentiseringsmetoder som inkluderar lösenord och certifikatidentiteter (PKINIT). Certifikatidentiteten kan finnas i ett smart kort med CryptoTokenKit, en MDM-levererad identitet eller den lokala nyckelringen. Tillägget stöder även ändring av Active Directory-lösenordet när autentiseringsdialogen visas eller med en URL till en separat webbplats.
Password expiration: Efterfrågar information om lösenordets utgångsdatum från domänen omedelbart efter autentisering, efter lösenordsändringar och då och då under dagen. Den här informationen används till att visa notiser om lösenordets utgångsdatum och begära nya inloggningsuppgifter om användaren har ändrat lösenordet på en annan enhet.
VPN support: Stöder många olika nätverkskonfigurationer som inkluderar olika VPN-tekniker som VPN per app. Ifall VPN per app används använder Kerberos SSO-tillägget VPN per app endast när appen eller webbplatsen som frågar efter det är konfigurerad att använda det.
Domain reachability: Använd en LDAP-ping till domänen för att efterfråga och sedan cacha Active Directory-webbplatskoder för den aktuella nätverksanslutningen till domänen. Den delar webbplatskoden med Kerberos-förfrågningar för andra processer och gör detta för att spara batteritid. Mer information finns i Microsofts dokumentation 6.3.3 LDAP Ping.
Negotiation challenges: Hanterar HTTP 401 Negotiate-utmaningar för webbplatser, NSURLSession-förfrågningar och NSURLSession-bakgrundsåtgärder.
Tillägget i macOS
I macOS hämtar Kerberos SSO-tillägget proaktivt en Kerberos TGT när nätverksläget ändras för att se till att användaren är redo att autentisera när det behövs. Kerberos SSO-tillägget hjälper även användare att hantera sina Active Directory-konton. Det gör det dessutom möjligt för användare att ändra sitt Active Directory-lösenord och meddelar dem när ett lösenord snart förfaller. Användare kan även ändra lösenordet för sitt lokala konto så att det matchar Active Directory-lösenordet.
Kerberos SSO-tillägget ska användas med en intern Active Directory-domän. Enheter behöver inte vara anslutna till en Active Directory-domän för att använda Kerberos SSO-tillägget. Dessutom behöver användare inte logga in på sina Mac-datorer med Active Directory-konton eller flyttbara konton. Apple rekommenderar istället att lokala konton används.
Användare måste autentisera mot Kerberos SSO-tillägget. De kan göra detta på något av följande sätt:
Om datorn är ansluten till nätverket där Active Directory-domänen finns blir användaren uppmanad att autentisera omedelbart efter att Extensible SSO-konfigurationsprofilen har installerats.
Om profilen redan är installerad när datorn ansluts till ett nätverk där Active Directory-domänen är tillgänglig blir användaren direkt ombedd att autentisera.
Om Safari eller någon annan app används till att öppna en webbplats som godtar eller kräver Kerberos-autentisering blir användaren ombedd att autentisera.
Användaren kan välja menytillbehöret för Kerberos SSO-tillägget och sedan klicka på Logga in.
Kerberos SSO-tilläggsfunktionerna för macOS inkluderar följande:
Authentication methods: Tillägget har stöd för flera olika autentiseringsmetoder som inkluderar lösenord och certifikatidentiteter (PKINIT). Certifikatidentiteten kan finnas i ett smart kort med CryptoTokenKit, en MDM-levererad identitet eller den lokala nyckelringen. Tillägget stöder även ändring av AD-lösenordet när autentiseringsdialogen visas eller med en URL till en separat webbplats.
Password expiration: Tillägget efterfrågar information om lösenordets utgångsdatum från domänen omedelbart efter autentisering, efter lösenordsändringar och då och då under dagen. Den här informationen används till att visa notiser om lösenordets utgångsdatum och begära nya inloggningsuppgifter om användaren har ändrat lösenordet på en annan enhet.
VPN support: Tillägget stöder många olika nätverkskonfigurationer, inklusive VPN-tjänster som VPN per app. Om en VPN är en Network Extension VPN löser den automatiskt ut en anslutning vid autentisering eller ändring av lösenord. Om anslutningen däremot sker med VPN per app visar Kerberos-menytillbehöret för SSO-tillägget alltid att nätverket är tillgängligt. Det beror på att det använder en LDAP-ping till att avgöra tillgängligheten för företagsnätverk. När VPN per app kopplar från återansluts den av LDAP-pingen, vilket leder till vad som verkar vara en kontinuerlig VPN per app-anslutning. Det som faktiskt händer är att Kerberos SSO-tillägg har lösts ut för Kerberos-trafik på begäran.
Lägg till följande poster i App to App Layer VPN Mapping för att använda Kerberos SSO-tillägg med VPN per app:
com.apple.KerberosExtension med den angivna kravidentifieraren com.apple.KerberosExtension och anchor apple
com.apple.AppSSOAgent med den angivna kravidentifieraren com.apple.AppSSOAgent och anchor apple
com.apple.KerberosMenuExtra med det angivna kravet: identifier com.apple.KerberosMenuExtra och anchor apple
Domain reachability: Tillägget använder en LDAP-ping till domänen för att efterfråga och sedan cacha AD-webbplatskoder för den aktuella nätverksanslutningen till domänen. Den gör det för att spara batteritid. Den delar även webbplatskoden med Kerberos-förfrågningar för andra processer. Mer information finns i Microsofts dokumentation 6.3.3 LDAP Ping.
Kerberos TGT refresh: Tillägget försöker att alltid hålla Kerberos TGT uppdaterat. Det gör det genom att övervaka nätverksanslutningar och Kerberos-cacheändringar. När ditt företagsnätverk är tillgängligt och en ny biljett behövs efterfrågar det en ny proaktivt. Om användaren väljer att logga in automatiskt begär tillägget sömlöst en ny biljett tills användarens lösenord löper ut. Användaren blir uppmanade att ange inloggningsuppgifter när Kerberos-inloggningsuppgifterna förfaller, vanligtvis efter 10 timmar, om den väljer att inte logga in automatiskt.
Password sync: Tillägget synkroniserar det lokala kontolösenordet med Active Directory-lösenordet. Efter den inledande synkroniseringen övervakar tillägget ändringsdatumen för det lokala och Active Directory-kontolösenordet för att fastställa ifall kontolösenorden fortfarande är synkroniserade. Det använder datum istället för inloggningsförsök för att förhindra utelåsning av det lokala eller AD-kontot på grund av för många misslyckade försök.
Run scripts: Tillägget skickar notiser när olika händelser inträffar. De här notiserna kan lösa ut skript som körs för att utöka funktionerna. Notiser skickas istället för att köra skript direkt eftersom Kerberos-tilläggsprocesser körs i sandlåda och sandlådan bidrar till att förhindra körning av skript. Det finns även ett kommandoradsverktyg,
app-sso, som tillåter att skript läser statusen för tillägget och begär vanliga åtgärder som en inloggning.Menu extra: Tillägget innehåller ett menytillbehör som gör det möjligt för användaren att logga in, återansluta, ändra lösenordet, logga ut och visa anslutningsstatus. Återanslutningsalternativet hämtar alltid en ny TGT och uppdaterar informationen om när lösenordet löper ut från domänen.
Kontoanvändning
Kerberos SSO-tillägget kräver inte att datorn är kopplad till Active Directory eller att användaren är inloggad på datorn med ett flyttbart konto. Apple rekommenderar att du använder Kerberos SSO-tillägget med ett lokalt konto. Kerberos SSO-tillägget skapades särskilt för att förbättra integreringen med Active Directory via ett lokalt konto. Du kan dock fortfarande använda Kerberos SSO-tillägget med flyttbara konton. När det används med flyttbara konton:
Det går inte att synkronisera lösenord. Lösenordsändringar fungerar på samma sätt som i inställningspanelen Användare och grupper om du ändrar Active Directory-lösenordet i Kerberos SSO-tillägget och är inloggad på datorn med samma användarkonto som det du använder med Kerberos SSO-tillägget. Om du istället ändrar lösenord externt, det vill säga om du ändrar lösenordet på en webbplats eller om IT-supporten ändrar det åt dig, kan inte Kerberos SSO-tillägget synkronisera lösenordet för ditt flyttbara konto med ditt Active Directory-lösenord.
Det går inte att använda URL:er för lösenordsändring med Kerberos-tillägget.