Kerberos-Gesamtauthentifizierung mit Apple-Geräten
Die Erweiterung für die Kerberos-Gesamtauthentifizierung (Kerberos SSO) vereinfacht den Prozess, ein Kerberos-TGT (Ticket-Granting Ticket) von einer in der Organisation befindlichen Active Directory oder einer anderen Identitätsanbieterdomain abzufragen, damit sich Benutzer nahtlos bei Ressourcen wie Websites, Apps und Dateiservern authentifizieren können.
Voraussetzungen für die Nutzung der Erweiterung für die Kerberos-Gesamtauthentifizierung
Um die Erweiterung für die Kerberos-Gesamtauthentifizierung zu verwenden, musst du über Folgendes verfügen:
Mit einer MDM-Lösung verwaltete Geräte, die Unterstützung für die erweiterbare SSO-Konfigurationsprofil-Payload bietet.
Zugriff auf das Netzwerk, in dem die Active Directory-Domain vor Ort bereitgestellt wird. Bei diesem Netzwerkzugriff kann es sich um WLAN, Ethernet oder VPN handeln.
Eine Active Directory-Domain mit Windows Server 2008 (oder neuer). Die Kerberos-SSO-Erweiterung ist nicht für die Verwendung mit Microsoft Entra ID gedacht, da für diese eine traditionelle Active Directory-Domain vor Ort erforderlich ist.
Die Erweiterung in iOS, iPadOS und visionOS 1.1
In iOS, iPadOS und visionOS 1.1 wird die Kerberos-SSO-Erweiterung nur aktiviert, nachdem eine HTTP 401 Negotiate-Challenge erhalten wurde. Um Batterie zu sparen, wird durch die Erweiterung bis zur Challenge kein Active Directory-Seitencode angefordert oder das Kerberos TGT aktualisiert.
Zu den Funktionen der Kerberos-SSO-Erweiterung für iOS, iPadOS und visionOS 1.1 gehören:
Authentifizierungsmethoden: Fügt die Unterstützung von mehreren unterschiedlichen Authentifizierungsmethoden hinzu, einschließlich Passwort- und Zertifikatsidentitäten (PKINIT). Die Zertifikatsidentität kann sich auf einer CryptoTokenKit-Smartcard, in einer von der MDM-Lösung bereitgestellten Identität oder im lokalen Schlüsselbund befinden. Die Erweiterung unterstützt außerdem das Ändern des Active Directory-Passworts, wenn der Authentifizierungsdialog eine URL zu einer anderen Website anzeigt oder verwendet.
Passwortgültigkeit: Ruft die Informationen zur Passwortgültigkeit sofort nach der Authentifizierung, nach dem Ändern des Passworts und in regelmäßigen Abständen im Laufe des Tage von der Domain ab. Diese Informationen werden verwendet, um Mitteilungen zur Passwortgültigkeit bereitzustellen und um neue Anmeldedaten anzufordern, wenn der Benutzer sein Passwort auf einem anderen Gerät geändert hat.
VPN-Unterstützung: Unterstützt viele verschiedene Netzwerkkonfigurationen, einschließlich zahlreiche VPN-Technologien wie VPN pro App. Wenn VPN pro App verwendet wird, verwendet die Erweiterung für die Kerberos-Gesamtauthentifizierung das VPN pro App nur, wenn die anfordernde App oder Website für die Verwendung konfiguriert ist.
Domainerreichbarkeit: Verwende einen LDAP-Ping an die Domain, um Active Directory-Seitencodes anzufordern und sie dann für die aktuelle Netzwerkverbindung zur Domain im Cache zu speichern. Der Seitencode wird mit Kerberos-Anfragen für andere Prozesse geteilt, um die Batterielaufzeit zu verlängern. Weitere Informationen gibt es in der Dokumentation von Microsoft unter 6.3.3 LDAP Ping.
Negotiation-Challenges: Verarbeitet HTTP 401 Negotiate-Challenges für Websites, NSURLSession-Anfragen und NSURLSession-Aufgaben im Hintergrund.
Die Erweiterung in macOS
In macOS fordert die Erweiterung der Kerberos-Gesamtauthentifizierung proaktiv ein TGT für Kerberos an, wenn sich der Status des Netzwerks ändert, um sicherzustellen, dass der Benutzer bei Bedarf bereit für die Authentifizierung ist. Die Kerberos-Gesamtauthentifizierung hilft Benutzern auch dabei, ihre Active Directory-Accounts zu verwalten. Darüber hinaus erlaubt sie den Benutzern, ihre Active Directory-Passwörter zu ändern, und benachrichtigt sie, wenn das Ablaufdatum des Passworts nahezu erreicht ist. Außerdem können die Benutzer ihre lokalen Passwörter ändern, sodass diese ihren Active Directory-Passwörtern entsprechen.
Die Kerberos-Gesamtauthentifizierung sollte mit einer lokalen Active Directory-Domain verwendet werden. Die Geräte müssen nicht in eine Active Directory-Domain eingebunden werden, um die Erweiterung für die Kerberos-Gesamtauthentifizierung verwenden zu können. Darüber hinaus müssen sich die Benutzer nicht mehr mit Active Directory- oder mobilen Accounts bei ihren Macs anmelden. Apple empfiehlt stattdessen, lokale Accounts zu verwenden.
Benutzer müssen sich bei der Kerberos-Gesamtauthentifizierung authentifizieren. Sie können verschiedene Methoden nutzen, um diesen Prozess zu beginnen:
Wenn der Mac mit dem Netzwerk verbunden ist, in dem deine Active Directory-Domain verfügbar ist, wird der Benutzer unmittelbar nach der Installation des Konfigurationsprofils für erweiterbares SSO aufgefordert, sich zu authentifizieren.
Wenn das Profil bereits installiert ist und der Mac mit einem Netzwerk verbunden wird, in dem deine Active Directory-Domain zur Verfügung steht, wird der Benutzer sofort zur Authentifizierung aufgefordert.
Wird Safari oder eine andere App für den Zugriff auf eine Website verwendet, die die Kerberos-Authentifizierung akzeptiert oder verlangt, wird der Benutzer aufgefordert sich zu authentifizieren.
Der Benutzer kann die Menüerweiterung der Kerberos-Gesamtauthentifizierung auswählen und dann auf „Anmelden“ klicken.
Zu den Funktionen der Erweiterung für die Kerberos-Gesamtauthentifizierung für macOS gehören:
Authentifizierungsmethoden: Die Erweiterung unterstützt mehrere unterschiedliche Authentifizierungsmethoden, einschließlich Passwort- und Zertifikatsidentitäten (PKINIT). Die Zertifikatsidentität kann sich auf einer CryptoTokenKit-Smartcard, in einer von der MDM-Lösung bereitgestellten Identität oder im lokalen Schlüsselbund befinden. Die Erweiterung unterstützt außerdem das Ändern des AD-Passworts, wenn der Authentifizierungsdialog eine URL zu einer anderen Website anzeigt oder verwendet.
Passwortgültigkeit: Die Erweiterung ruft die Informationen zur Passwortgültigkeit sofort nach der Authentifizierung, nach dem Ändern des Passworts und in regelmäßigen Abständen im Laufe des Tage von der Domain ab. Diese Informationen werden verwendet, um Mitteilungen zur Passwortgültigkeit bereitzustellen und um neue Anmeldedaten anzufordern, wenn der Benutzer sein Passwort auf einem anderen Gerät geändert hat.
VPN-Unterstützung: Die Erweiterung unterstützt viele verschiedene Netzwerkkonfigurationen, einschließlich VPN-Dienste wie VPN pro App. Wenn das VPN ein Netzwerkerweiterungs-VPN (Network Extension) ist, löst es beim Authentifizieren oder Ändern des Passworts automatisch eine Verbindung aus. Wenn die Verbindung dagegen als VPN pro App hergestellt wird, zeigt die Kerberos-Menüerweiterung für die Gesamtauthentifizierung immer an, dass das Netzwerk verfügbar ist. Das liegt daran, dass sie einen LDAP Ping zur Ermittlung der Netzwerkverfügbarkeit verwendet. Wenn die VPN pro App-Verbindung unterbrochen wird, stellt der LDAP Ping die Verbindung wieder her, was den Eindruck einer kontinuierlichen VPN pro App-Verbindung erweckt. Tatsächlich wird die Kerberos-SSO-Erweiterung für Kerberos-Datenverkehr on demand ausgelöst.
Füge die folgenden Einträge zur VPN-Zuordnung auf der App-zu-App-Ebene hinzu, um die Kerberos-Erweiterung für die Gesamtauthentifizierung mit VPN pro App zu verwenden:
com.apple.KerberosExtension mit speziellen Anforderungen: identifier com.apple.KerberosExtension and anchor apple
com.apple.AppSSOAgent mit speziellen Anforderungen: identifier com.apple.AppSSOAgent and anchor apple
com.apple.KerberosMenuExtra mit speziellen Anforderungen: identifier com.apple.KerberosMenuExtra and anchor apple
Domainerreichbarkeit: Die Erweiterung verwendet einen LDAP-Ping an die Domain, um AD-Seitencodes anzufordern und sie dann für die aktuelle Netzwerkverbindung zur Domain im Cache zu speichern. Dadurch soll die Batterielaufzeit verlängert werden. Außerdem wird der Seitencode mit Kerberos-Anfragen für andere Prozesse geteilt. Weitere Informationen gibt es in der Dokumentation von Microsoft unter 6.3.3 LDAP Ping.
Kerberos-TGT-Aktualisierung: Die Erweiterung versucht, das TGT für Kerberos immer aktuell zu halten. Dies wird bewerkstelligt, indem Netzwerkverbindungen und Änderungen am Kerberos-Cache überwacht werden. Wenn das Unternehmensnetzwerk verfügbar ist und ein neues Ticket benötigt wird, wird proaktiv ein neues angefordert. Wenn sich der Benutzer für eine automatische Anmeldung entscheidet, fordert die Erweiterung reibungslos ein neues Ticket an, bis das Passwort des Benutzers abläuft. Wenn sich der Benutzer gegen die automatische Anmeldung entscheidet, wird er zur Eingabe seiner Anmeldedaten aufgefordert, wenn seine Kerberos-Anmeldedaten ablaufen. Dies ist normalerweise nach 10 Stunden der Fall.
Passwortsynchronisation: Die Erweiterung synchronisiert das Passwort des lokalen Accounts mit dem Active Directory-Passwort. Nach der Erstsynchronisation überwacht die Erweiterung die Änderungsdaten der lokalen und Active Directory-Accountpasswörter, um zu überprüfen, ob die Accountpasswörter noch übereinstimmen. Sie verwendet die Daten, anstatt einen Anmeldeversuch durchzuführen, um zu vermeiden, dass der lokale oder AD-Account wegen zu vieler Fehlerversuche ausgesperrt wird.
Skripte ausführen: Die Erweiterung sendet Mitteilungen, wenn verschiedene Ereignisse auftreten. Diese Mitteilungen können die Ausführung von Skripten auslösen, um die Funktionalität zu erweitern. Die Mitteilungen werden statt der direkten Ausführung der Skripte gesendet, da die Prozesse der Kerberos-Erweiterung in einer Sandbox durchgeführt werden und die Sandbox verhindert, dass die Skripte ausgeführt werden. Es gibt auch das Befehlszeilenwerkzeug
app-sso, mit dem Skripte den Status der Erweiterung auslesen und allgemeine Aktionen wie eine Anmeldung anfordern können.Menüerweiterung: Die Erweiterung enthält eine Menüerweiterung, um es dem Benutzer zu ermöglichen, sich anzumelden, erneut eine Verbindung herzustellen, das Passwort zu ändern, sich abzumelden und den Verbindungsstatus anzuzeigen. Die Option zum erneuten Verbinden ruft immer ein neues TGT ab und aktualisiert die Informationen zur Passwortgültigkeit der Domain.
Accountnutzung
Die Erweiterung der Kerberos-Gesamtauthentifizierung setzt nicht voraus, dass dein Mac an Active Directory gebunden ist oder dass der Benutzer mit einem mobilen Account beim Mac angemeldet ist. Apple schlägt vor, die Kerberos-Gesamtauthentifizierung mit einem lokalen Account zu verwenden. Die Kerberos-Gesamtauthentifizierung wurde speziell erstellt, um die Active Directory-Integration von einem lokalen Account zu verbessern. Wenn du dich jedoch für die Weiterverwendung mobiler Accounts entscheidest, kannst du die Erweiterung der Kerberos-Gesamtauthentifizierung weiterhin nutzen. Bei Verwendung mit mobilen Accounts:
Die Passwortsynchronisierung funktioniert nicht. Wenn du die Kerberos-Gesamtauthentifizierung verwendest, um dein Active Directory-Passwort zu ändern, und wenn du auf deinem Mac mit demselben Benutzeraccount angemeldet bist, den du mit der Kerberos-Gesamtauthentifizierung verwendest, funktionieren Passwortänderungen so wie im Bereich „Benutzer & Gruppen“ in den Systemeinstellungen. Wenn du jedoch eine externe Passwortänderung durchführst – d. h., du änderst das Passwort auf einer Website oder dein Helpdesk setzt es zurück – kann die Kerberos-Gesamtauthentifizierung das Passwort deines mobilen Accounts nicht mehr mit deinem Active Directory-Passwort synchronisieren.
Die Verwendung einer Passwortänderungs-URL mit der Kerberos-Gesamtauthentifizierung wird nicht unterstützt.