Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT

8fd1ae6548d5ab14139c8d8032b76ee1?s=47 kenchan0130
September 06, 2019
Technology
0
810

Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT

コーポレートエンジニア・カジュアルトーク #2 実例LT (https://corp.connpass.com/event/143310/) で発表した資料です。

8fd1ae6548d5ab14139c8d8032b76ee1?s=128

kenchan0130

September 06, 2019
Tweet

More Decks by kenchan0130

See All by kenchan0130
パスワードに関する最近の動向
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
1
320
運用していくアプリケーション開発のヒント
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
0
92
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
1
1k
運用を続けていくための Scala の書き方 / scala.rookies#1
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
3
880
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
14
4.4k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
1
540
教育・企業におけるデバイス管理について
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
2
1.1k
教育・企業におけるデバイス管理について 発表ノート付き
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
0
300
RubyでWebアプリを理解する
8fd1ae6548d5ab14139c8d8032b76ee1?s=48 kenchan0130
0
270

Other Decks in Technology

See All in Technology
セキュキャンを卒業してその後
1f745ff900e1be51aedae18cae76593c?s=48 kurochan
0
390
Djangoで組織とユーザーの権限管理をやってみよう #devio2022
Fe8025d56f2bf17204e3aa7598a96fe2?s=48 seiichi1101
0
370
Settlement simulation testing to ensure correct settlement processing
23e9a5be8e46efd1cf6a07694a047237?s=48 applepine1125
2
990
大声で伝えたい!定時に帰る方法
61c616e83bef28a1cd2666439ebf334b?s=48 sbtechnight
0
220
20220803投資先CXO候補者向け 会社紹介資料_合同会社BLUEPRINT
08b07f5e5f554c4f4a6a30ef1cca28ad?s=48 hik
0
230
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
19k
VS Code Meetup #21 - もう一度知りたい基礎編 - ファイル操作、コーディングの基本編
Fc815be82d09a2e922d4000b65b9f83b?s=48 74th
0
180
QuickSight 触ってみた
67683b0a8d24009c731787b49881a9de?s=48 tomuro
0
370
cobra は便利になっている
6ed12627fec46a135f1bce5d56f3568e?s=48 nwiizo
0
130
増田亨さんによる 「設計の考え方とやり方」勉強会オープニング
8ccb6288c8b9f34d6917a14d42e66cbe?s=48 tsuyok
0
200
質の良い”カイゼン”の為の質の良い「振り返り」
Bf7fe621f4fe1615c228ef8a79b87282?s=48 shirayanagiryuji
0
120
DMMプラットフォーム ゼロから始めるKubernetes運用 課題と改善
F91225895fc7411d415604147af75cab?s=48 pospome
0
390

Featured

See All Featured
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
From Idea to $5000 a Month in 5 Months
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
373
44k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.4k
The Web Native Designer (August 2011)
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
75
2k
Code Reviewing Like a Champion
C7393b7ba7ec9c8890dd77d209fbb3c9?s=48 maltzj
506
37k
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
21k
Practical Orchestrator
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
178
8.7k
Thoughts on Productivity
A16eb159db895e3b01d3dc95767ad595?s=48 jonyablonski
44
2.4k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Fd55de4174accaf3b4f030e43a8a70c6?s=48 marcduiker
6
560
Art, The Web, and Tiny UX
D67fff74178013024d833b3eec6cf27f?s=48 lynnandtonic
280
18k
The Invisible Customer
4262b9cfacfb6b2c77f23e1d0310cd3e?s=48 myddelton
110
11k

Transcript

  1. Local Administrator Password Solution for macOS with Jamf Pro 2019/09/06

    コーポレートエンジニア・カジュアルトーク #2 Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved. 1

  2. ⼤⻄ 正恭 (Tadayuki Onishi) 2 ⾃⼰紹介 Software Engineer Twitter: @kenchan0130

    Blog: kenchan0130.github.io

  3. 3 ⾃⼰紹介

  4. Local Administrator Password Solution 4

  5. ローカル管理者アカウントのパスワード 集中管理ツール、通称 LAPS 5 Local Administrator Password Solution • 端末ごとに異なるパスワード

    • パスワードの定期的な変更 主な機能 PC A G&vlXKXLQ Name Password PC A G&vlXKXLQ PC B 411ssTe$1 PC B 411ssTe$1

  6. • イメージ展開などによるキッティング 効率化 • ヘルプデスク業務効率化 6 LAPSが⽣まれた経緯 管理者アカウントパスワードの同⼀化 マルウェアによるPass the

    Hash攻撃 PC A Pass12345 PC B Pass12345 Internal Network

  7. • イメージ展開などによるキッティング 効率化 • ヘルプデスク業務効率化 6 LAPSが⽣まれた経緯 管理者アカウントパスワードの同⼀化 マルウェアによるPass the

    Hash攻撃 PC A Pass12345 PC B Pass12345 Internal Network

  8. • イメージ展開などによるキッティング 効率化 • ヘルプデスク業務効率化 6 LAPSが⽣まれた経緯 管理者アカウントパスワードの同⼀化 マルウェアによるPass the

    Hash攻撃 PC A Pass12345 PC B Pass12345 Internal Network

  9. • イメージ展開などによるキッティング 効率化 • ヘルプデスク業務効率化 6 LAPSが⽣まれた経緯 管理者アカウントパスワードの同⼀化 マルウェアによるPass the

    Hash攻撃 PC A Pass12345 PC B Pass12345 Internal Network へへへ、どうせ Pass12345 やろ

  10. https://channel9.msdn.com/events/Ignite/2015/BRK2334 7 Active Directoryを使⽤したLAPS

  11. 1. パスワード期限、変更要求 2. 新規パスワードの作成 3. Active Directoryへ同期 4. 端末のパスワードの変更 8

    Active Directoryを使⽤したLAPS 端末上でエージェントが動作 PC A 411ssTe$1 PC A szieRsk&s szieRsk&s に変更 szieRsk&s に変更

  12. macOSのLocal Administrator Password Solution 9

  13. 10 macOSでLAPSを実現できるのか?

  14. Active Directoryと統合できるLAPSツール 11 https://github.com/joshua-d-miller/macOSLAPS • Active Directoryの属性を使⽤ • Swift製の署名されたバイナリ •

    独⾃のデーモンで動作

  15. Active Directoryを使⽤するのは レガシーなのではないか? 12

  16. オンプレミスのActive Directory依存 13 macOSLAPSのペインポイントとなる点 不安定なmacOSのAD Bind

  17. macOSのLocal Administrator Password Solutionを再構築 14

  18. インベントリデータベース アプリケーション エージェント/デーモン 15 LAPSに必要な要素分解 端末に紐付いたパスワードの把握 パスワードの更新と同期 アプリケーションを定期的に端末で実⾏

  19. Appleの端末の管理ツール 16 Jamf Proとは • Appleが提供しているMDMを使い やすくする • エージェントを仕込み、MDMで⼿ が届かない部分を補完(macOS

    のみ)

  20. Jamf Proの拡張属性 インベントリデータベース Jamf Proのスクリプト アプリケーション Jamf Proのポリシー エージェント/デーモン 17

    Jamf Proの仕組みに当てはめる

  21. Jamf Proの拡張属性 インベントリデータベース Jamf Proのスクリプト アプリケーション Jamf Proのポリシー エージェント/デーモン 18

    Jamf Proで実現するための課題

  22. Jamf Proと統合できるLAPSツール 19 https://github.com/NU-ITS/LAPSforMac • Jamf Proに最適化 • Shell製のスクリプト •

    アクティブに開発されていない

  23. 保存するパスワードが暗号化されていない T2チップ対応が不⼗分 整合性担保率が低い 20 NU-ITS/LAPSforMacのデメリット

  24. NU-ITS/LAPSforMacの課題解決 21 https://github.com/taniguti/LAPSforMac • NU-ITS/LAPSforMacのFork • 暗号化サポート • T2チップサポート •

    ⼀定⽔準の整合性の担保

  25. 設定⽅法 (時間があれば) 22

  26. 設定⽅法 1. 拡張属性の追加 23 設定 > コンピュータ管理 > 拡張属性 >

    新規 後で使う 1-1. 属性名(表⽰名)

  27. 設定⽅法 2. APIユーザーの作成 24 設定 > Jamf Pro ユーザアカウントとグループ >

    新規 後で使う 2-1. ユーザ名 2-2. パスワード

  28. 設定⽅法 2. APIユーザーの作成 24 設定 > Jamf Pro ユーザアカウントとグループ >

    新規 後で使う 2-1. ユーザ名 2-2. パスワード

  29. 設定⽅法 3. スクリプトの登録 25 設定 > コンピュータ管理 > スクリプト >

    新規

  30. 設定⽅法 3. スクリプトの登録 25 設定 > コンピュータ管理 > スクリプト >

    新規

  31. 設定⽅法 4. パスワードの暗号化 26 後で使う 4-1. Jamf ProのAPIユーザパスワードのsaltphrase 4-2. Jamf

    ProのAPIユーザのencryptedString 4-3. 端末の管理者アカウントの初期パスワードのsaltphrase 4-4. 端末の管理者アカウントのencryptedString $ git clone https://github.com/taniguti/LAPSforMac.git $./LAPSforMac/admintools/EncryptString.sh "YOUR_JAMF_API_USER_PASSWORD" # alt='xxxxxxxxx' # passphrase='yyyyyyyyyy' # saltphrase='xxxxxxxxx:yyyyyyyyyy' # encryptedString='zzzzzzzzzzzzzzzzzzzzzzzzz' $ ./LAPSforMac/admintools/EncryptString.sh "YOUR_DEVICE_ADMIN_USER_INITIAL_PASSWORD" # alt='xxxxxxxxx' # passphrase='yyyyyyyyyy' # saltphrase='xxxxxxxxx:yyyyyyyyyy' # encryptedString='zzzzzzzzzzzzzzzzzzzzzzzzz'

  32. 設定⽅法 5. 暗号化⽤ソルトとパスフレーズ⽣成 27 後で使う 5-1. saltphrase $ ./LAPSforMac/admintools/EncryptString.sh dummy

    # alt='ooooooooooo' # passphrase='pppppppppppp' # saltphrase='ooooooooooo:pppppppppppp' # encryptedString='qqqqqqqqqqqqqqqqqqq'

  33. 設定⽅法 6. ポリシーの登録 28 コンピュータ > ポリシー > 新規

  34. 設定⽅法 6. ポリシーの登録 28 コンピュータ > ポリシー > 新規

  35. 設定⽅法 6. ポリシーの登録 28 コンピュータ > ポリシー > 新規

  36. 設定⽅法 6. ポリシーの登録 28 コンピュータ > ポリシー > 新規 Jamf

    ProのAPIユーザ名 (2-1) Jamf ProのAPIユーザの暗号化済みパスワード (4-2) 端末の管理者アカウント名 端末の管理者アカウントの暗号化済み初期パスワード (4-4) 拡張属性名 (1-1) Jamf ProのAPIユーザパスワードのソルトとパスフレーズ (4-1) 端末の管理者アカウント初期パスワードのソルトとパスフレーズ (4-3) 拡張属性に保存するパスワードの暗号化ソルトとパスフレーズ (5-1)

  37. Q & A 29

  38. THANK YOU