Kerberos 認証を使用して、クラウドアイデンティティプロバイダ (IdP) ではなく Active Directory へのパスワード変更を直接完了するように Self Service+ (旧 Jamf Connect メニューバー App) を構成できます。
ユーザのネットワークパスワードが自分の Active Directory のパスワードと一致する場合、Self Service+ は Active Directory ドメインへの認証用の Kerberos チケットも取得できます。Self Service+ は、ユーザ名を識別するために、ユーザのサインイン名の「@」の前にある文字を使用して、Kerberos レルムの拡張子を追加します。
Self Service+ は、IdP によるネットワーク認証の前に Kerberos チケットを取得することもできます。最初に Kerberos 認証が行われるように Self Service+ を構成するには、パスワードの変更ワークフロー (PasswordChangeWorkflow) 設定を Kerberos に設定します。オプションで、ネットワーク認証前の遅延として Kerberos タイムアウト (Timeout) 設定を1~60秒の間で調整できます。Self Service+ で使用可能な Kerberos 設定の詳細については、Kerberos の設定 を参照してください。
Self Service+では、ネットワークの変更を監視する特定の構成で、過剰な Kerberos リクエストを防ぐためにレート制限システムを使用しています。このシステムでは、30秒、1分、5分、10分、30分のステップごとに1つのリクエストが許可されます。10分間リクエストがない場合、システムは最初のステップにリセットされます。管理者は各ステップの時間を変更することはできないため、Jamf によって設定されます。
構成の完了後は、Self Service+ は、以下の方法で Active Directory ドメインとのやりとりを行います。
Self Service+ はサイトを認識します。LDAP Ping 方式を使用して、使用する最適なサイトを決定します。Self Service+ は、ドメインコントローラにアクセスできなくなるか、ネットワークが変更されるまでそのサイトを使用し続け、これによりサイト検索プロセスが再開されます。
Self Service+ は、システムの Kerberos と LDAP のライブラリを使用しており、macOS が更新されたときにそれらが確実に更新されるようにしています。
Self Service+ は、パスワードの有効期限ポリシーを検出することができ、パスワードの有効期限を表示するときにそれらを使用します。
Self Service+ は、起動時やネットワークの変更時にドメインへの接続を再評価します。構成されている場合は、間隔を分単位で指定することもできます。