您可以配置Self Service+(以前稱為Jamf Connect功能表列App)來使用Kerberos認證,直接完成對Active Directory而不是雲端身分識別提供者(IdP)的密碼變更。
如使用者的網路密碼與他們的Active Directory密碼相符,Self Service+也可取得Kerberos票證,以認證Active Directory網域。如要確認使用者名稱,Self Service+ 會用使用者登入名稱中在「@」字元前面的字元,並新增 Kerberos 領域尾碼。
Self Service+也能夠在使用IdP進行網路認證之前取得Kerberos票證。若要為Kerberos配置您的Self Service+以先進行認證,請將密碼變更工作流程(PasswordChangeWorkflow)設為Kerberos。或者,您可以調整Kerberos逾時(Timeout)設定,在網路認證前延遲1到60秒。有關Self Service+中可用Kerberos設定的更多資訊,請參閱Kerberos 設定。
Self Service+使用速率限制系統,透過監視網路變更的某些配置防止過多的Kerberos請求。系統允許每步1個請求,步長為30秒、1分鐘、5分鐘、10分鐘和30分鐘。10分鐘無請求後,系統將重設為第一步。管理員無法修改每個步驟的時間,並且由Jamf設定。
完成配置後,Self Service+ 會透過下列方式與 Active Directory 網域互動:
Self Service+ 具位置感知性。它使用LDAP ping方法來確定要使用的最佳網站。Self Service+持續使用該位置,直到無法再進入網域控制器或網路有所變化,這種情況下會重新啟動位置查詢程序。
Self Service+ 使用系統 Kerberos 和 LDAP 庫,確保它們在 macOS 更新時也會更新。
Self Service+ 可以偵測到密碼過期政策,並在顯示密碼過期通知時使用這些政策。
Self Service+ 在啟動和網路發生變化時會重新評估網域連線狀況。如已配置,您還可以指定時間間隔,以分鐘為單位。