Розширення єдиного ходу Kerberos на пристроях Apple
Розширення єдиного входу Kerberos (Kerberos SSO) спрощує процес отримання квитка для отримання квитків (TGT) Kerberos із локального домену Active Directory або домену іншого постачальника ідентифікаційних даних, і тому користувачі можуть без перешкод проходити автентифікацію на вебсайтах, у програмах, на файлових серверах та інших ресурсах.
Вимоги для використання розширення SSO Kerberos
Для використання розширення Kerberos потрібно:
Пристрої під керуванням рішення MDM, яке підтримує конфігурацію набору даних Extensible Single Sign-on (Розширюваний єдиний вхід).
Доступ до мережі, де розміщений локальний домен Active Directory. Такий доступ можна забезпечити через Wi-Fi, Ethernet або VPN-з’єднання.
Домен Active Directory у Windows Server 2008 або новішої версії. Розширення Kerberos SSO не призначене для використання із системою Microsoft Entra ID, яка потребує традиційного локального домену Active Directory.
Розширення в iOS, iPadOS і visionOS 1.1
У системах iOS, iPadOS і visionOS 1.1 розширення Kerberos SSO активується лише після отримання виклику узгодження HTTP 401. Задля заощадження заряду батареї це розширення не запитує коди сайту Active Directory чи оновлення квитка Kerberos TGT до виклику.
До функцій розширення Kerberos SSO для iOS, iPadOS і visionOS 1.1 належать:
Методи автентифікації: Додає підтримку кількох різних методів автентифікації, включно з паролями та посвідченнями сертифіката (PKINIT). Посвідчення сертифіката може бути на смарт-картці CryptoTokenKit, посвідченням від MDM чи локальною в’язкою. Розширення також підтримує змінення пароля Active Directory в діалоговому вікні автентифікації або за допомогою URL-адреси, що веде на окремий вебсайт.
Застарівання пароля. Відразу після автентифікації, після зміни пароля, а також періодично протягом дня запитує в домена інформацію про термін дії пароля. Ця інформація використовується для надання сповіщень про застарівання пароля та запитування нових облікових даних, якщо користувач змінює свій пароль на іншому пристрої.
Підтримка VPN. Підтримує багато різних мережевих конфігурацій, включно з різними VPN-технологіями, як-от VPN на одну програму. Якщо застосовано VPN на одну програму, розширення Kerberos SSO використовує VPN на одну програму, лише якщо програма чи вебсайт, які його запитують, мають відповідну конфігурацію.
Доступність домену. Перевіряйте зв’язок із доменом LDAP, щоб запитувати й відтак кешувати коди сайту Active Directory для поточного мережевого з’єднання до домену. Запит використовує код сайту спільно із запитами Kerberos для інших процесів і в такий спосіб заощаджує заряд батареї. Більше інформації наведено в документації Microsoft про 6.3.3 LDAP Ping.
Виклики узгодження. Оброблює виклики узгодження HTTP 401 для вебсайтів, запитів NSURLSession і фонових завдань NSURLSession.
Розширення в macOS
У macOS розширення Kerberos SSO наперед отримує Kerberos TGT, якщо виникають зміни в мережі, забезпечуючи готовність користувача до автентифікації, коли виникне така потреба. Розширення Kerberos SSO також допомагає користувачам керувати своїми обліковими записами Active Directory. Додатково це дає користувачам змогу змінювати свої паролі Active Directory, а також сповіщає їх про завершення терміну дії пароля. Крім того, користувачі можуть змінювати паролі до своїх локальних облікових записів, щоб вони збігалися з паролями Active Directory.
Розширення Kerberos SSO слід використовувати з локальним доменом Active Directory. Пристроям не потрібно приєднуватися до домену Active Directory, щоб використовувати розширення Kerberos SSO. Крім того, користувачам не потрібно авторизуватися за допомогою облікових записів Active Directory або мобільних облікових записів на своїх комп’ютерах Mac. Apple натомість рекомендує використовувати локальні облікові записи.
Користувачі мають автентифікуватися в розширенні Kerberos SSO. Цей процес можна розпочати в кілька способів:
Якщо Mac під’єднено до мережі з доступним доменом Active Directory, користувач отримає запит на автентифікацію відразу після інсталювання профіля конфігурації Extensible SSO.
Якщо профіль уже інстальовано, коли Mac під’єднуватиметься до мережі з доступним доменом Active Directory, користувач буде одразу отримувати запит на автентифікацію.
Якщо Safari або інша програма використовується для доступу до вебсайту, який приймає або вимагає автентифікацію Kerberos, користувач отримає запит на автентифікацію.
Користувач вибирає додаткове меню розширення Kerberos SSO, а потім клацає «Увійти».
До функцій розширення Kerberos SSO для macOS належать:
Методи автентифікації: Це розширення підтримує кілька різних методів автентифікації, включно з паролями та посвідченнями сертифіката (PKINIT). Посвідчення сертифіката може бути на смарт-картці CryptoTokenKit, посвідченням від MDM чи локальною в’язкою. Розширення також підтримує змінення пароля AD в діалоговому вікні автентифікації або за допомогою URL-адреси, що веде на окремий вебсайт.
Застарівання пароля. Відразу після автентифікації, після зміни пароля, а також періодично протягом дня розширення запитує в домену інформацію про термін дії пароля. Ця інформація використовується для надання сповіщень про застарівання пароля та запитування нових облікових даних, якщо користувач змінює свій пароль на іншому пристрої.
Підтримка VPN. Розширення підтримує багато різних мережевих конфігурацій, включно зі службами VPN, як-от VPN на одну програму. Якщо VPN є Network Extension VPN (мережевим розширенням VPN), вона автоматично ініціює під’єднання під час автентифікації або зміни пароля. Натомість, якщо під’єднання є VPN на одну програму, елемент меню розширення Kerberos SSO завжди показує, що мережа доступна. Причина в тому, що воно використовує перевірку зв’язку з LDAP, щоб визначити доступність корпоративної мережі. Коли VPN на одну програму від’єднується, перевірка зв’язку з LDAP повторно під’єднує його, що призводить до враження, ніби під’єднання VPN на одну програму є постійним. Насправді розширення Kerberos SSO ініціюється для трафіку Kerberos за запитом.
Додайте наведені нижче записи для вашої програми до зіставлення VPN на рівні програм, щоб використовувати розширення Kerberos SSO з VPN на одну програму:
com.apple.KerberosExtension за допомогою спеціальної вимоги com.apple.KerberosExtension і anchor apple
com.apple.AppSSOAgent за допомогою спеціальної вимоги: identifier com.apple.AppSSOAgent і anchor apple
com.apple.KerberosMenuExtra за допомогою спеціальної вимоги: identifier com.apple.KerberosMenuExtra і anchor apple
Доступність домену. Розширення використовує перевірку зв’язку з доменом LDAP, щоб запитувати й відтак кешувати коди сайту AD для поточного мережевого з’єднання до домену. Це потрібно для збереження заряду батареї. Запит також використовує код сайту спільно із запитами Kerberos для інших процесів. Більше інформації наведено в документації Microsoft про 6.3.3 LDAP Ping.
Оновлення Kerberos TGT. Розширення намагається завжди підтримувати актуальність вашого TGT Kerberos. Це досягається моніторингом мережевих з’єднань і змін у кеші Kerberos. Коли доступна ваша корпоративна мережа й виникає необхідність у новому квитку, розширення самостійно ініціює відповідний запит. Якщо користувач вибирає автоматичний вхід, розширення запитує новий квиток, поки не закінчиться термін дії пароля користувача. Якщо користувач не вибирає автоматичний вхід, запит облікових даних буде з’являтися після завершення терміну дії облікових даних Kerberos, а це зазвичай стається через 10 годин.
Синхронізація паролів. Розширення синхронізує пароль локального облікового запису з паролем Active Directory. Після початкової синхронізації розширення моніторить дати зміни і локального пароля, і пароля Active Directory, щоб з’ясувати, чи паролі облікових записів досі синхронізовані. Розширення використовує дати замість спроб входу, щоб уникнути блокування локального облікового запису чи обліковки AD через велику кількість невдалих спроб.
Запуск сценаріїв. Розширення надсилає сповіщення, коли відбуваються різні події. Ці сповіщення можуть ініціювати запуск сценаріїв, які розширюватимуть функціональність. Сповіщення надсилаються замість сценаріїв, які виконуються безпосередньо, оскільки процеси розширення Kerberos виконуються в «пісочниці», яка запобігає виконанню сценаріїв. Є також інструмент командного рядка —
app-sso, який дозволяє сценаріям читати стан розширення та запитувати звичайні дії, як-от вхід у систему.Додаткове меню. Розширення містить додаткове меню, яке дає користувачу змогу входити в систему, під’єднуватися повторно, змінювати пароль, виходити та переглядати статус з’єднання. Опція повторного з’єднання завжди отримує новий TGT і запитує з домену інформацію про термін дії пароля.
Використання облікового запису
Розширення Kerberos SSO не вимагає прив’язування Mac до Active Directory або входу користувача на Mac із мобільним обліковим записом. Apple пропонує використовувати розширення Kerberos SSO з локальним обліковим записом. Розширення Kerberos SSO спеціально створене для розширення інтеграції Active Directory з локального облікового запису. Проте, можна продовжувати використовувати мобільний обліковий запис і розширення Kerberos SSO. Якщо використовується мобільний обліковий запис:
Не працює синхронізація паролів. Якщо ви використовуєте розширення Kerberos SSO для зміни пароля Active Directory, і ви ввійшли на Mac із тим самим обліковим записом, що й для розширення Kerberos SSO, функція зміни пароля працює так, як на панелі «Користувачі та групи». Однак, якщо ви виконуєте зовнішню зміну пароля, тобто змінюєте пароль на вебсайті або його скидає центр підтримки, розширення Kerberos SSO не може повторно синхронізувати пароль вашого мобільного облікового запису з паролем Active Directory.
Використання URL-адреси для зміни пароля з розширенням Kerberos не підтримується.