Kerberos-extensie voor eenmalige aanmelding op Apple apparaten
De Kerberos-extensie voor eenmalige aanmelding vereenvoudigt de manier waarop een Kerberos-TGT (Ticket-Granting Ticket) wordt aangevraagd bij het lokale Active Directory-domein of het domein van een andere identiteitsprovider van je organisatie. Hierdoor kunnen gebruikers zich naadloos authenticeren bij onder andere websites, apps en bestandsservers.
Vereisten voor het gebruik van de Kerberos-extensie voor eenmalige aanmelding
Om de Kerberos-extensie voor eenmalige aanmelding te kunnen gebruiken, heb je het volgende nodig:
Apparaten moeten worden beheerd via een MDM-oplossing die geschikt is voor de payload met het configuratieprofiel voor 'Uitbreidbare SSO (eenmalige aanmelding)'.
Toegang tot het netwerk waarin het lokale Active Directory-domein wordt gehost. Dit kan een wifi-, ethernet- of VPN-netwerk zijn.
Een Active Directory-domein met Windows Server 2008 of nieuwer. De Kerberos-extensie voor eenmalige aanmelding is niet bedoeld voor gebruik met Microsoft Entra ID. Voor Microsoft Entra ID is een traditioneel lokaal Active Directory-domein vereist.
De extensie in iOS, iPadOS en visionOS 1.1
In iOS, iPadOS en visionOS 1.1 wordt de Kerberos-extensie voor eenmalige aanmelding pas geactiveerd nadat een HTTP 401-onderhandelingsverzoek is ontvangen. Om de gebruiksduur van de batterij te verlengen, vraagt deze extensie pas Active Directory-sitecodes of een nieuw Kerberos-TGT (Ticket Granting Ticket) aan als daarom wordt gevraagd.
De Kerberos-extensie voor eenmalige aanmelding in iOS, iPadOS en visionOS 1.1 bevat de volgende functies:
Authenticatiemethoden: Er is ondersteuning toegevoegd voor meerdere authenticatiemethoden, waaronder wachtwoorden en certificaatidentiteiten (PKINIT). De certificaatidentiteit kan afkomstig zijn van een CryptoTokenKit-smartcard, van MDM of van de lokale sleutelhanger. De extensie ondersteunt ook het wijzigen van het Active Directory-wachtwoord via het authenticatievenster of via een URL die naar een afzonderlijke website verwijst.
Vervaldatum wachtwoord: Er wordt direct na authenticatie, na wijziging van het wachtwoord en met vaste tussenpozen informatie over de vervaldatum van het wachtwoord opgevraagd bij het domein. Deze informatie wordt gebruikt om meldingen over het verlopen van het wachtwoord te versturen en om nieuwe inloggegevens aan te vragen als de gebruiker het wachtwoord op een ander apparaat heeft gewijzigd.
VPN-ondersteuning: De extensie ondersteunt uiteenlopende netwerkconfiguraties waaronder verschillende VPN-technologieën zoals app-gebonden VPN. Bij app-gebonden VPN gebruikt de Kerberos-extensie voor eenmalige aanmelding alleen app-gebonden VPN als de aanvragende app of website er ook voor geconfigureerd is.
Bereikbaarheid van het domein: De extensie stuurt een LDAP-ping naar het domein om Active Directory-sitecodes voor de huidige netwerkverbinding met het domein aan te vragen en in de cache op te slaan. Deze sitecodes worden met Kerberos-aanvragen voor andere processen gedeeld om de gebruiksduur van de batterij te verlengen. Zie de Microsoft-documentatie over 6.3.3 LDAP Ping (Engelstalig) voor meer informatie.
Onderhandelingsverzoeken: De extensie verwerkt HTTP 401-onderhandelingsverzoeken voor websites, NSURLSession-aanvragen en NSURLSession-achtergrondtaken.
De extensie in macOS
De Kerberos-extensie voor eenmalige aanmelding in macOS haalt proactief bij elke wijziging in de status van het netwerk een Kerberos-TGT op, zodat de gebruiker zich kan authenticeren wanneer dat nodig is. Gebruikers kunnen met de Kerberos-extensie voor eenmalige aanmelding ook hun Active Directory-account beheren. Daarnaast kunnen ze hun Active Directory-wachtwoord wijzigen en krijgen ze een melding wanneer een wachtwoord bijna verloopt. Verder kunnen ze voor hun lokale account hetzelfde wachtwoord gebruiken als voor hun Active Directory-account.
De Kerberos-extensie voor eenmalige aanmelding moet met een lokaal Active Directory-domein worden gebruikt. Apparaten kunnen de Kerberos-extensie voor eenmalige aanmelding ook gebruiken als ze niet zijn aangemeld bij een Active Directory-domein. Bovendien hoeven gebruikers niet met een Active Directory- of mobiele account in te loggen op hun Mac. Apple adviseert gebruik te maken van lokale accounts.
Gebruikers moeten zich bij de Kerberos-extensie voor eenmalige aanmelding authenticeren. Dat kan op diverse manieren:
Als de Mac verbonden is met het netwerk waarin het Active Directory-domein beschikbaar is, moet de gebruiker zich onmiddellijk authenticeren zodra het configuratieprofiel 'Uitbreidbare SSO' is geïnstalleerd.
Als het profiel al is geïnstalleerd en de Mac wordt verbonden met een netwerk waarin het Active Directory-domein beschikbaar is, moet de gebruiker zich onmiddellijk authenticeren.
Als de gebruiker in Safari of een andere app naar een website gaat die Kerberos-authenticatie ondersteunt of vereist, moet de gebruiker zich authenticeren.
De gebruiker kan het menu-extra van de Kerberos-extensie voor eenmalige aanmelding selecteren en vervolgens op 'Log in' klikken.
De Kerberos-extensie voor eenmalige aanmelding in macOS bevat de volgende functies:
Authenticatiemethoden: De extensie ondersteunt meerdere authenticatiemethoden, waaronder wachtwoorden en certificaatidentiteiten (PKINIT). De certificaatidentiteit kan afkomstig zijn van een CryptoTokenKit-smartcard, van MDM of van de lokale sleutelhanger. De extensie ondersteunt ook het wijzigen van het Active Directory-wachtwoord via het authenticatievenster of via een URL die naar een afzonderlijke website verwijst.
Vervaldatum wachtwoord: Er wordt door de extensie direct na authenticatie, na wijziging van het wachtwoord en met vaste tussenpozen informatie over de vervaldatum van het wachtwoord opgevraagd bij het domein. Deze informatie wordt gebruikt om meldingen over het verlopen van het wachtwoord te versturen en om nieuwe inloggegevens aan te vragen als de gebruiker het wachtwoord op een ander apparaat heeft gewijzigd.
VPN-ondersteuning: De extensie ondersteunt uiteenlopende netwerkconfiguraties, waaronder VPN-voorzieningen zoals app-gebonden VPN. Als een VPN-netwerkextensie wordt gebruikt, wordt automatisch een verbinding tot stand gebracht wanneer de gebruiker zich authenticeert of het wachtwoord wijzigt. Als het in plaats daarvan om een verbinding via een app-gebonden VPN gaat, wordt in het menu-extra van de Kerberos-extensie voor eenmalige aanmelding altijd weergegeven dat het netwerk beschikbaar is. Dit komt doordat er met LDAP Ping wordt gecontroleerd of het bedrijfsnetwerk beschikbaar is. Wanneer de verbinding met het app-gebonden VPN wordt verbroken, wordt de verbinding via LDAP Ping hersteld, waardoor het lijkt alsof de app-gebonden VPN-verbinding continu is. In werkelijkheid wordt de Kerberos-extensie voor eenmalige aanmelding op aanvraag geactiveerd voor Kerberos-verkeer.
Voeg de volgende onderdelen aan je app-naar-app-laag-VPN-koppeling toe om de Kerberos-extensie voor eenmalige aanmelding met app-gebonden VPN te gebruiken:
com.apple.KerberosExtension met aangewezen vereiste-ID com.apple.KerberosExtension en anker apple
com.apple.AppSSOAgent met aangewezen vereiste-ID com.apple.AppSSOAgent en anker apple
com.apple.KerberosMenuExtra met aangewezen vereiste-ID: com.apple.KerberosMenuExtra en anker apple
Bereikbaarheid van het domein: De extensie stuurt een LDAP-ping naar het domein om Active Directory-sitecodes voor de huidige netwerkverbinding met het domein aan te vragen en in de cache op te slaan. Hierdoor wordt de gebruiksduur van de batterij verlengd. De sitecodes worden ook met Kerberos-aanvragen voor andere processen gedeeld. Zie de Microsoft-documentatie over 6.3.3 LDAP Ping (Engelstalig) voor meer informatie.
Kerberos-TGT vernieuwen: De extensie probeert het Kerberos-TGT up-to-date te houden. Daarom worden de netwerkverbindingen en de wijzigingen in de Kerberos-cache regelmatig door de extensie gecontroleerd. Wanneer je bedrijfsnetwerk beschikbaar is en een nieuw ticket nodig is, wordt proactief een nieuw exemplaar aangevraagd. Als de gebruiker ervoor heeft gekozen om automatisch in te loggen, vraagt de extensie ongemerkt een nieuw ticket aan totdat het wachtwoord van de gebruiker verloopt. Als de gebruiker ervoor heeft gekozen om niet automatisch in te loggen, is opnieuw inloggen pas nodig wanneer de Kerberos-inloggegevens verlopen (meestal na tien uur).
Wachtwoordsynchronisatie: De extensie synchroniseert het wachtwoord van de lokale account met het Active Directory-wachtwoord. Na de eerste synchronisatie controleert de extensie de wijzigingsdatums van de wachtwoorden van de lokale account en de Active Directory-account om te bepalen of de accountwachtwoorden nog hetzelfde zijn. Er wordt gebruikgemaakt van de datums en niet geprobeerd om in te loggen om te voorkomen dat de lokale account of de AD-account wordt geblokkeerd vanwege te veel mislukte inlogpogingen.
Scripts uitvoeren: De extensie verstuurt meldingen bij verschillende gebeurtenissen. Met deze meldingen kunnen scripts worden gestart om de functionaliteit verder uit te breiden. Er worden meldingen verstuurd en niet rechtstreeks scripts uitgevoerd omdat de processen van de Kerberos-extensie zich in een sandbox bevinden waarin geen scripts kunnen worden uitgevoerd. Er is ook een commandoregeltool,
app-sso, waarmee scripts de status van de extensie kunnen lezen en veelgebruikte taken kunnen aanvragen, zoals inloggen.Menu-extra: De extensie bevat een menu-extra. Hiermee kan de gebruiker inloggen, de verbinding herstellen, het wachtwoord wijzigen, uitloggen en de verbindingsstatus bekijken. Bij het herstellen van de verbinding wordt altijd een nieuw TGT opgehaald en wordt de informatie van het domein over de vervaldatum van het wachtwoord bijgewerkt.
Accountgebruik
Om de Kerberos-extensie voor eenmalige aanmelding te kunnen gebruiken, hoeft je Mac niet aan Active Directory gekoppeld te zijn. De gebruiker hoeft ook niet met een mobiele account op de Mac ingelogd te zijn. Apple raadt aan de Kerberos-extensie voor eenmalige aanmelding met een lokale account te gebruiken. De Kerberos-extensie voor eenmalige aanmelding is specifiek gemaakt voor een betere integratie van Active Directory via een lokale account. Als je wilt, kun je de Kerberos-extensie voor eenmalige aanmelding echter ook met mobiele accounts gebruiken. Bij gebruik van mobiele accounts geldt het volgende:
Wachtwoordsynchronisatie werkt niet. Als je je Active Directory-wachtwoord wijzigt via de Kerberos-extensie voor eenmalige aanmelding en je bent op je Mac ingelogd met dezelfde gebruikersaccount als voor de Kerberos-extensie, werkt het wijzigen van wachtwoorden hetzelfde als via het paneel 'Gebruikers en groepen' in Systeemvoorkeuren. Als je je wachtwoord echter buiten de extensie om wijzigt (bijvoorbeeld op een website of bij een reset door de helpdesk), kan de Kerberos-extensie voor eenmalige aanmelding het nieuwe wachtwoord van je mobiele account niet synchroniseren met je Active Directory-wachtwoord.
Het gebruik van een URL voor het wijzigen van een wachtwoord met de Kerberos-extensie wordt niet ondersteund.