Apple 기기를 사용한 Kerberos 단일 로그인 확장 프로그램
Kerberos 단일 로그인(Kerberos SSO) 확장 프로그램은 조직의 온프레미스 Active Directory 또는 기타 신원 제공자 도메인에서 Kerberos TGT(ticket-granting ticket)를 획득하는 프로세스를 간소화하며, 사용자는 웹사이트, 앱, 파일 서버와 같은 리소스에 원활하게 인증할 수 있습니다.
Kerberos SSO 확장 프로그램을 위한 요구 사항
Kerberos SSO 확장 프로그램을 사용하려면 다음과 같은 사항이 필요합니다.
확장 가능한 SSO(단일 로그인) 구성 프로필 페이로드를 지원하는 MDM(모바일 기기 관리) 솔루션으로 관리되는 기기.
온프레미스 Active Directory 도메인이 호스팅되는 네트워크에 대한 접근 권한. 이 네트워크는 Wi-Fi, 이더넷 또는 VPN을 통해 접근할 수 있습니다.
Windows Server 2008 또는 그 이후 버전을 사용하는 Active Directory 도메인. Kerberos SSO 확장 프로그램은 Microsoft Entra ID에서 사용하기 위한 것이 아니라 전통적인 온프레미스 Active Directory 도메인이 필요합니다.
iOS, iPadOS 및 visionOS 1.1의 확장 프로그램
iOS, iPadOS 및 visionOS 1.1이 설치된 기기에서 Kerberos SSO 확장 프로그램은 HTTP 401 Negotiate 요청을 수신한 경우에만 활성화됩니다. 이 확장 프로그램은 배터리 사용 시간을 절약하기 위해 요청을 받기 전에는 Active Directory 사이트 코드를 요청하거나 Kerberos TGT를 새로 고침하지 않습니다.
iOS, iPadOS 및 visionOS 1.1용 Kerberos SSO 확장 프로그램 기능에는 다음이 포함됩니다.
인증 방식: 암호 및 인증서 ID(PKINIT)를 포함한 여러 다양한 인증 방식에 대한 지원을 추가합니다. 인증서 ID는 CryptoTokenKit 스마트 카드, MDM 제공 ID 또는 로컬 키체인에 있을 수 있습니다. 확장 프로그램은 또한 인증 대화상자가 표시되거나 별도의 웹사이트에 대한 URL을 사용할 때 Active Directory 암호 변경을 지원합니다.
암호 만료: 인증 직후, 암호 변경 후 및 하루 동안 주기적으로 도메인에 암호 만료 정보를 요청합니다. 이 정보는 사용자가 다른 기기에서 암호를 변경한 경우 암호 만료 알림을 보내고 새로운 자격 증명을 요청하는 데 사용됩니다.
VPN 지원: 앱별 VPN과 같은 다양한 VPN 기술을 포함하여 여러 다양한 네트워크 구성을 지원합니다. 앱별 VPN을 사용하는 경우, Kerberos SSO 확장 프로그램은 요청하는 앱 또는 웹사이트가 앱별 VPN을 사용하도록 구성된 경우에만 앱별 VPN을 사용합니다.
도메인 접근성: 도메인에 LDAP ping을 사용하여 현재 도메인에 연결된 네트워크에 대한 Active Directory 사이트 코드를 요청하고 캐시합니다. 다른 프로세스에 대한 Kerberos 요청과 사이트 코드를 공유하고 이 작업을 수행하여 배터리 사용 시간을 최대화합니다. 자세한 정보는 Microsoft 문서의 6.3.3 LDAP Ping을 참조하십시오.
교섭 요청: 웹사이트, NSURLSession 요청 및 백그라운드 NSURLSession 작업에 대한 HTTP 401 Negotiate 요청을 처리합니다.
macOS의 확장 프로그램
Mac 컴퓨터에서 Kerberos SSO 확장 프로그램은 네트워크 상태 변경 시 Kerberos TGT를 미리 획득하여 사용자가 필요할 때 인증할 수 있도록 합니다. 또한 Kerberos SSO 확장 프로그램은 사용자가 Active Directory 계정을 관리하는 데 도움을 줍니다. 또한 사용자는 Active Directory 암호를 변경하고, 암호 만료일이 다가오면 알림을 받을 수 있습니다. 또한 사용자는 로컬 계정의 암호를 변경하여 Active Directory 암호와 일치시킬 수 있습니다.
Kerberos SSO 확장 프로그램은 온프레미스 Active Directory 도메인에서 사용해야 합니다. Kerberos SSO 확장 프로그램을 사용하기 위해 기기에서 Active Directory 도메인에 연결할 필요는 없습니다. 또한 사용자는 Active Directory 또는 모바일 계정으로 Mac 컴퓨터에 로그인할 필요가 없습니다. 대신, Apple은 로컬 계정을 사용하는 것을 추천합니다.
사용자는 Kerberos SSO 확장 프로그램에 인증해야 합니다. 이 과정을 다음 방법 중 하나를 사용하여 시작할 수 있습니다.
Mac이 Active Directory 도메인을 사용할 수 있는 네트워크에 연결되어 있는 경우, 확장 가능한 SSO 구성 프로필이 설치된 후 사용자에게 즉시 인증하라는 메시지가 나타납니다.
프로필이 이미 설치된 경우, Mac이 Active Directory 도메인을 사용할 수 있는 네트워크에 연결될 때마다 사용자에게 즉시 인증하라는 메시지가 나타납니다.
Safari 또는 다른 앱을 사용하여 Kerberos 인증을 허용하거나 요구하는 웹사이트에 접근하는 경우, 사용자에게 인증하라는 메시지가 나타납니다.
사용자는 Kerberos SSO 확장 프로그램 기타 메뉴를 선택한 다음 로그인을 클릭할 수 있습니다.
macOS용 Kerberos SSO 확장 프로그램 기능에는 다음이 포함됩니다.
인증 방식: 확장 프로그램은 암호 및 인증서 ID(PKINIT)를 포함한 여러 다양한 인증 방식을 지원합니다. 인증서 ID는 CryptoTokenKit 스마트 카드, MDM 제공 ID 또는 로컬 키체인에 있을 수 있습니다. 확장 프로그램은 또한 인증 대화상자가 표시되거나 별도의 웹사이트에 대한 URL을 사용할 때 AD 암호 변경을 지원합니다.
암호 만료: 인증 직후, 확장 프로그램은 암호 변경 후 및 하루 동안 주기적으로 도메인에 암호 만료 정보를 요청합니다. 이 정보는 사용자가 다른 기기에서 암호를 변경한 경우 암호 만료 알림을 보내고 새로운 자격 증명을 요청하는 데 사용됩니다.
VPN 지원: 확장 프로그램은 앱별 VPN과 같은 다양한 VPN 서비스를 포함하여 여러 다양한 네트워크 구성을 지원합니다. VPN이 네트워크 확장 프로그램 VPN인 경우 암호를 인증하거나 변경하는 동안 자동으로 연결합니다. 반면, 연결이 앱별 VPN인 경우, Kerberos SSO 확장 프로그램 기타 메뉴는 언제나 사용 가능한 네트워크를 보여줍니다. 이는 LDAP Ping을 사용해서 기업 네트워크 사용 가능 여부를 판단하기 때문입니다. 앱별 VPN이 연결 해제되면 LDAP Ping이 다시 연결해서 연속적인 앱별 VPN 연결처럼 보이는 결과를 만듭니다. 실제로는 요청 시 Kerberos 트래픽의 Kerberos SSO 확장 프로그램이 작동합니다.
다음과 같은 입력 항목을 앱 간 레이어 VPN 매핑에 추가해서 앱별 VPN을 Kerberos SSO 확장 프로그램과 사용하십시오.
지정된 요구 사항을 사용하는 com.apple.KerberosExtension: 식별자 com.apple.KerberosExtension 및 anchor apple
지정된 요구 사항을 사용하는 com.apple.AppSSOAgent: 식별자 com.apple.AppSSOAgent 및 anchor apple
지정된 요구 사항을 사용하는 com.apple.KerberosMenuExtra: 식별자 com.apple.KerberosMenuExtra 및 anchor apple
도메인 접근성: 확장 프로그램은 도메인에 LDAP ping을 사용하여 현재 도메인에 연결된 네트워크에 대한 AD 사이트 코드를 요청하고 캐시합니다. 이 작업을 수행하여 배터리 사용 시간을 최대화합니다. 또한 다른 프로세스에 대한 Kerberos 요청과 사이트 코드를 공유합니다. 자세한 정보는 Microsoft 문서의 6.3.3 LDAP Ping을 참조하십시오.
Kerberos TGT 새로 고침: 확장 프로그램은 항상 Kerberos TGT를 최신 상태로 유지하려고 합니다. 네트워크 연결 및 Kerberos 캐시 변경 사항을 모니터링하며 이를 수행합니다. 사내 네트워크를 사용할 수 있고 새로운 티켓이 필요한 경우 사전에 새로운 티켓을 요청합니다. 사용자가 자동 로그인을 선택하면 확장 프로그램은 사용자의 암호가 만료될 때까지 반복적으로 새로운 티켓을 요청합니다. 자동으로 로그인하도록 선택하지 않은 경우 Kerberos 자격 증명이 만료될 때 메시지가 나타납니다(보통 10시간).
암호 동기화: 확장 프로그램은 로컬 계정 암호를 Active Directory 암호와 동기화합니다. 초기 동기화 후에 로컬 계정과 Active Directory 계정의 암호 변경 날짜를 모니터링하여 계정 암호가 계속 동기화되어 있는지 확인합니다. 로그인 시도에 너무 많이 실패할 경우 로컬 계정 또는 AD 계정이 잠기므로 이를 방지하기 위해 로그인을 시도하지 않고 날짜를 사용합니다.
스크립트 실행: 확장 프로그램은 다양한 이벤트가 일어날 때 알림을 표시합니다. 이러한 알림은 기능 확장을 지원하기 위해 실행할 스크립트를 트리거할 수 있습니다. Kerberos 확장 프로그램 프로세스는 샌드박스되어 있고 샌드박스가 스크립트를 실행하지 못하게 방지하기 때문에 직접 스크립트를 실행하는 대신 알림을 보냅니다.
app-sso명령어 라인 도구도 있습니다. 이는 스크립트가 확장 프로그램 상태를 읽고 로그인과 같은 일반적인 동작을 요청할 수 있도록 합니다.기타 메뉴: 확장 프로그램에는 사용자가 로그인하고, 다시 연결하고, 암호를 변경하고, 로그아웃하고, 연결 상태를 볼 수 있는 기타 메뉴가 포함되어 있습니다. 다시 연결 옵션은 항상 새로운 TGT를 검색하고 도메인에서 제공하는 암호 만료 정보를 새로 고침합니다.
계정 사용
Kerberos SSO 확장 프로그램은 Mac이 Active Directory에 바운드되거나 사용자가 모바일 계정으로 Mac에 로그인하지 않아도 됩니다. Apple은 Kerberos SSO 확장 프로그램을 로컬 계정으로 사용하는 것을 권장합니다. Kerberos SSO 확장 프로그램은 로컬 계정에서 Active Directory 통합을 향상하도록 제작되었습니다. 하지만 모바일 계정으로 계속 사용하도록 선택한 경우, Kerberos SSO 확장 프로그램을 계속 사용할 수 있습니다. 모바일 계정으로 사용하는 경우:
암호 동기화가 동작하지 않습니다. Kerberos SSO 확장 프로그램을 사용하여 Active Directory 암호를 변경하고 Kerberos SSO 확장 프로그램과 동일한 사용자 계정으로 Mac에 로그인하는 경우, 암호 변경은 사용자 및 그룹 환경설정 패널에서와 동일하게 기능합니다. 외부 암호 변경을 수행하는 경우(웹사이트에서 암호를 변경하거나 지원 센터에서 재설정한 경우), Kerberos SSO 확장 프로그램은 사용자의 모바일 계정 암호를 Active Directory 암호와 다시 동기화할 수 없습니다.
Kerberos 확장 프로그램으로 암호 변경 URL을 사용할 수 없습니다.