usmssosetup 单点登录被禁用_在 Apple 设备上使用单点登录介绍

在 Apple 设备上使用单点登录介绍

单点登录 (SSO) 是用户提供一次认证信息并接收票据以在有效期内使用它来访问资源的过程。该过程让用户保持对资源的安全访问，而无需在每次请求访问时均出示凭证。它还可以确保从不通过网络传送密码，从而提高日常使用 App 的安全性。

App 可以通过 Kerberos(部署最为广泛的 SSO 技术)来利用现有的企业内部单点登录 (SSO) 基础架构。如果配置了 Active Directory、eDirectory 或 Open Directory，Kerberos 系统可能已安装就位。Apple 设备需要能够通过网络连接联系 Kerberos 服务以认证用户。证书可用来静默续订 Kerberos 票据，让用户保持与某些利用 Kerberos 进行认证服务的连接。

集成到 Active Directory 环境时，macOS 将优先使用 Kerberos 进行所有认证。在不影响 Mac 电脑的情况下，网络上可能禁止使用其他认证协议(如 Microsoft NT LAN Manager (NTLM)、Digest 和 Basic)。用户使用 Active Directory 帐户登录到 Mac 时，Active Directory 域控制器将自动发放“Kerberos 授权票据的票据”(TGT)。用户尝试使用支持 Kerberos 认证的域的任何服务时，TGT 生成该服务的票据，从而无需用户进行再次认证。如果设定策略以要求密码来取消屏幕保护程序，macOS 会尝试续订 TGT 直到认证成功。

为了正确支持 Kerberos，对于经过 Kerberos 认证的服务器来说，正向和反向域名系统 (DNS) 记录应当是准确无误的。系统时钟时间也很重要，对于任何服务器和客户端而言，时钟偏差必须少于五分钟。使用“网络时间协议”(NTP) 服务(如 time.apple.com)来自动设定 macOS 的日期和时间是最佳的做法。

支持的 App

任何支持 Kerberos 认证的 App 也支持 SSO。这包括许多内建在 macOS 中的 App，如 Safari 浏览器、“邮件”和“日历”，以及文件共享、屏幕共享和 Secure Shell (SSH) 等服务。许多第三方 App(如 Microsoft Outlook 和 Microsoft Lync)也支持 Kerberos。

配置单点登录

用户可以使用“票据显示程序” App 来查看和管理其 Kerberos 票据信息，该 App 位于“/系统/资源库/CoreServices/”中。您可以点按“票据”菜单并选取“诊断信息”来查看附加信息。用户也可以单独使用命令行工具 kinit、klist 和 kdestroy 来请求、查看和销毁 Kerberos 票据。