Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT

kenchan0130
September 06, 2019
Technology
0
910

Local Administrator Password Solution for macOS with Jamf Pro / コーポレートエンジニア・カジュアルトーク #2 実例LT

コーポレートエンジニア・カジュアルトーク #2 実例LT (https://corp.connpass.com/event/143310/) で発表した資料です。

kenchan0130

September 06, 2019
Tweet

More Decks by kenchan0130

See All by kenchan0130
パスワードに関する最近の動向
kenchan0130
1
450
運用していくアプリケーション開発のヒント
kenchan0130
0
200
FOLIO のこれまでの情報セキュリティへの取り組みについて / Scramble! #2 Security
kenchan0130
1
1.1k
運用を続けていくための Scala の書き方 / scala.rookies#1
kenchan0130
3
930
イノベーションを止めずに、端末管理と運用を行う方法 / builderscon tokyo 2018
kenchan0130
14
4.6k
イノベーションを止めずに、端末管理と運用を行う方法 発表ノート付き/ builderscon tokyo 2018
kenchan0130
1
540
教育・企業におけるデバイス管理について
kenchan0130
2
1.2k
教育・企業におけるデバイス管理について 発表ノート付き
kenchan0130
0
350
RubyでWebアプリを理解する
kenchan0130
0
320

Other Decks in Technology

See All in Technology
サイボウズ #Garoon 開発チームの
「 完成度低いの歓迎LT大会 」 PHPerKaigi出張版 / Low quality LT in PHPerKaigi 2023
oogfranz
PRO
0
110
CSS-in-JS は本当にもうだめなのか?
you5805
1
2k
私と Nature Remo E / Nature Remo E
orgachem
0
210
軟體品質不只測試: LINE QA團隊分享
line_developers_tw
PRO
0
5k
AWS Lambda PHPのProduction利用を続ける僕がAWS App Runnerの可能性を探る
seike460
PRO
3
310
軽率に休学したら Babylon.js×WebARで 夢を3つ叶えてた / my dreams with babylon.js and WebAR
drumath2237
0
100
マネジメント3.0モデル入門(120分版)
takufujii
11
2.7k
AstroNvim を使おう!
ybrliiu
0
130
100アカウントを見据えたAWSマルチアカウント運用 / AWS multi-account operation for 100 accounts
yayoi_dd
0
220
『登記所備付地図XMLデータ』に触れてみよう〜法務省が公開した大規模オープンデータとは一体何なのか〜 / What is moj map xml
sakaik
0
110
開幕LT
makamaka
0
360
試して分かった!AWS を使った PLCのデータ収集と分析基盤の実践ノウハウ #FA設備技術勉強会#13
ganota
1
150

Featured

See All Featured
Unsuck your backbone
ammeep
659
56k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Three Pipe Problems
jasonvnalue
89
9k
Principles of Awesome APIs and How to Build Them.
keavy
118
16k
A Philosophy of Restraint
colly
193
15k
Robots, Beer and Maslow
schacon
154
7.4k
The Web Native Designer (August 2011)
paulrobertlloyd
77
2.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
121
29k
Side Projects
sachag
451
38k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.4k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8k

Transcript

  1. Local Administrator Password Solution for
    macOS with Jamf Pro
    2019/09/06 コーポレートエンジニア・カジュアルトーク #2
    Copyright © 2019 FOLIO Co., Ltd. All Rights Reserved.
    1

    View Slide

  2. ⼤⻄ 正恭 (Tadayuki Onishi)
    2
    ⾃⼰紹介
    Software Engineer
    Twitter: @kenchan0130
    Blog: kenchan0130.github.io

    View Slide

  3. 3
    ⾃⼰紹介

    View Slide

  4. Local Administrator
    Password Solution
    4

    View Slide

  5. ローカル管理者アカウントのパスワード
    集中管理ツール、通称 LAPS
    5
    Local Administrator Password Solution
    • 端末ごとに異なるパスワード
    • パスワードの定期的な変更
    主な機能
    PC A
    G&vlXKXLQ
    Name Password
    PC A G&vlXKXLQ
    PC B 411ssTe$1
    PC B
    411ssTe$1

    View Slide

  6. • イメージ展開などによるキッティング
    効率化
    • ヘルプデスク業務効率化
    6
    LAPSが⽣まれた経緯
    管理者アカウントパスワードの同⼀化
    マルウェアによるPass the Hash攻撃
    PC A
    Pass12345
    PC B
    Pass12345
    Internal
    Network

    View Slide

  7. • イメージ展開などによるキッティング
    効率化
    • ヘルプデスク業務効率化
    6
    LAPSが⽣まれた経緯
    管理者アカウントパスワードの同⼀化
    マルウェアによるPass the Hash攻撃
    PC A
    Pass12345
    PC B
    Pass12345
    Internal
    Network

    View Slide

  8. • イメージ展開などによるキッティング
    効率化
    • ヘルプデスク業務効率化
    6
    LAPSが⽣まれた経緯
    管理者アカウントパスワードの同⼀化
    マルウェアによるPass the Hash攻撃
    PC A
    Pass12345
    PC B
    Pass12345
    Internal
    Network

    View Slide

  9. • イメージ展開などによるキッティング
    効率化
    • ヘルプデスク業務効率化
    6
    LAPSが⽣まれた経緯
    管理者アカウントパスワードの同⼀化
    マルウェアによるPass the Hash攻撃
    PC A
    Pass12345
    PC B
    Pass12345
    Internal
    Network
    へへへ、どうせ
    Pass12345 やろ

    View Slide

  10. https://channel9.msdn.com/events/Ignite/2015/BRK2334
    7
    Active Directoryを使⽤したLAPS

    View Slide

  11. 1. パスワード期限、変更要求
    2. 新規パスワードの作成
    3. Active Directoryへ同期
    4. 端末のパスワードの変更
    8
    Active Directoryを使⽤したLAPS
    端末上でエージェントが動作
    PC A
    411ssTe$1
    PC A
    szieRsk&s
    szieRsk&s に変更
    szieRsk&s に変更

    View Slide

  12. macOSのLocal Administrator
    Password Solution
    9

    View Slide

  13. 10
    macOSでLAPSを実現できるのか?

    View Slide

  14. Active Directoryと統合できるLAPSツール
    11
    https://github.com/joshua-d-miller/macOSLAPS
    • Active Directoryの属性を使⽤
    • Swift製の署名されたバイナリ
    • 独⾃のデーモンで動作

    View Slide

  15. Active Directoryを使⽤するのは
    レガシーなのではないか?
    12

    View Slide

  16. オンプレミスのActive Directory依存
    13
    macOSLAPSのペインポイントとなる点
    不安定なmacOSのAD Bind

    View Slide

  17. macOSのLocal Administrator
    Password Solutionを再構築
    14

    View Slide

  18. インベントリデータベース アプリケーション エージェント/デーモン
    15
    LAPSに必要な要素分解
    端末に紐付いたパスワードの把握 パスワードの更新と同期 アプリケーションを定期的に端末で実⾏

    View Slide

  19. Appleの端末の管理ツール
    16
    Jamf Proとは
    • Appleが提供しているMDMを使い
    やすくする
    • エージェントを仕込み、MDMで⼿
    が届かない部分を補完(macOS
    のみ)

    View Slide

  20. Jamf Proの拡張属性
    インベントリデータベース
    Jamf Proのスクリプト
    アプリケーション
    Jamf Proのポリシー
    エージェント/デーモン
    17
    Jamf Proの仕組みに当てはめる

    View Slide

  21. Jamf Proの拡張属性
    インベントリデータベース
    Jamf Proのスクリプト
    アプリケーション
    Jamf Proのポリシー
    エージェント/デーモン
    18
    Jamf Proで実現するための課題

    View Slide

  22. Jamf Proと統合できるLAPSツール
    19
    https://github.com/NU-ITS/LAPSforMac
    • Jamf Proに最適化
    • Shell製のスクリプト
    • アクティブに開発されていない

    View Slide

  23. 保存するパスワードが暗号化されていない
    T2チップ対応が不⼗分
    整合性担保率が低い
    20
    NU-ITS/LAPSforMacのデメリット

    View Slide

  24. NU-ITS/LAPSforMacの課題解決
    21
    https://github.com/taniguti/LAPSforMac
    • NU-ITS/LAPSforMacのFork
    • 暗号化サポート
    • T2チップサポート
    • ⼀定⽔準の整合性の担保

    View Slide

  25. 設定⽅法
    (時間があれば)
    22

    View Slide

  26. 設定⽅法 1. 拡張属性の追加
    23
    設定 > コンピュータ管理 > 拡張属性 > 新規
    後で使う
    1-1. 属性名(表⽰名)

    View Slide

  27. 設定⽅法 2. APIユーザーの作成
    24
    設定 > Jamf Pro ユーザアカウントとグループ > 新規
    後で使う
    2-1. ユーザ名
    2-2. パスワード

    View Slide

  28. 設定⽅法 2. APIユーザーの作成
    24
    設定 > Jamf Pro ユーザアカウントとグループ > 新規
    後で使う
    2-1. ユーザ名
    2-2. パスワード

    View Slide

  29. 設定⽅法 3. スクリプトの登録
    25
    設定 > コンピュータ管理 > スクリプト > 新規

    View Slide

  30. 設定⽅法 3. スクリプトの登録
    25
    設定 > コンピュータ管理 > スクリプト > 新規

    View Slide

  31. 設定⽅法 4. パスワードの暗号化
    26
    後で使う
    4-1. Jamf ProのAPIユーザパスワードのsaltphrase
    4-2. Jamf ProのAPIユーザのencryptedString
    4-3. 端末の管理者アカウントの初期パスワードのsaltphrase
    4-4. 端末の管理者アカウントのencryptedString
    $ git clone https://github.com/taniguti/LAPSforMac.git
    $./LAPSforMac/admintools/EncryptString.sh "YOUR_JAMF_API_USER_PASSWORD"
    # alt='xxxxxxxxx'
    # passphrase='yyyyyyyyyy'
    # saltphrase='xxxxxxxxx:yyyyyyyyyy'
    # encryptedString='zzzzzzzzzzzzzzzzzzzzzzzzz'
    $ ./LAPSforMac/admintools/EncryptString.sh "YOUR_DEVICE_ADMIN_USER_INITIAL_PASSWORD"
    # alt='xxxxxxxxx'
    # passphrase='yyyyyyyyyy'
    # saltphrase='xxxxxxxxx:yyyyyyyyyy'
    # encryptedString='zzzzzzzzzzzzzzzzzzzzzzzzz'

    View Slide

  32. 設定⽅法 5. 暗号化⽤ソルトとパスフレーズ⽣成
    27
    後で使う
    5-1. saltphrase
    $ ./LAPSforMac/admintools/EncryptString.sh dummy
    # alt='ooooooooooo'
    # passphrase='pppppppppppp'
    # saltphrase='ooooooooooo:pppppppppppp'
    # encryptedString='qqqqqqqqqqqqqqqqqqq'

    View Slide

  33. 設定⽅法 6. ポリシーの登録
    28
    コンピュータ > ポリシー > 新規

    View Slide

  34. 設定⽅法 6. ポリシーの登録
    28
    コンピュータ > ポリシー > 新規

    View Slide

  35. 設定⽅法 6. ポリシーの登録
    28
    コンピュータ > ポリシー > 新規

    View Slide

  36. 設定⽅法 6. ポリシーの登録
    28
    コンピュータ > ポリシー > 新規
    Jamf ProのAPIユーザ名 (2-1)
    Jamf ProのAPIユーザの暗号化済みパスワード (4-2)
    端末の管理者アカウント名
    端末の管理者アカウントの暗号化済み初期パスワード (4-4)
    拡張属性名 (1-1)
    Jamf ProのAPIユーザパスワードのソルトとパスフレーズ (4-1)
    端末の管理者アカウント初期パスワードのソルトとパスフレーズ (4-3)
    拡張属性に保存するパスワードの暗号化ソルトとパスフレーズ (5-1)

    View Slide

  37. Q & A
    29

    View Slide

  38. THANK YOU

    View Slide