LAPS v2 : macOSの管理者パスワードを定期的に自動変更する

コード

今回は以前に公開したLAPSを使ったmacOSの管理者パスワード管理のバージョンアップ版です。

前回(下記の記事)に加えて、管理者のパスワードを自動的に変更する機能も加えたバージョンになります。

仕組み

仕組みはこんな流れ

  • plistファイルでJamfポリシーを呼び出すスクリプトを定期的(週1)に起動
  • Jamfポリシーが実行され、macOS上の管理者アカウントのパスワードが変更される
  • Jamfの拡張属性にパスワードが格納される

導入

前回の記事まで、すでに作業が終わっている前提で書いていきます。

今回もつかうのは前回と同じリポジトリです。

GitHub - samuraidays/LAPSforMac: Local Administrator Password Solution for Mac
Local Administrator Password Solution for Mac. Contribute to samuraidays/LAPSforMac development by creating an account on GitHub.

手順1. リポジトリをクローンする

自分のmacbookにこのレポジトリをクローンしてください

git clone https://github.com/samuraidays/LAPSforMac

手順2. jamf composerでパッケージを作成する

composer.appを起動して、インストールパッケージを作成します。

lapsForMac.plistとcall-jamf-policy-laps.shの2つのファイルを下記のように配置して、postinstall.shも設定します。

[Build as PKG]でPKGファイルを作成します。

手順3. JamfにPKGとポリシーを登録する

JamfにPKGとポリシーを登録します。(PKG登録は難しくないので割愛)

ポリシー登録

手順4. Jamfポリシーを実行してインストール

下記コマンドを実行します。

そうすると、2つのファイル(lapsForMac.plistとcall-jamf-policy-laps.sh)が配置され、postinstall.shが実行されます。

sudo jamf policy -trigger laps-pkg

手順5. 自動実行

インストール段階でパスワード変更が行われます。

またパスワード変更は毎週月曜日のAM10時30分に実行されます。
もし、変更タイミングを変えたい場合はplistファイルを変更してください。

おわりに

これでまたセキュリティを向上させつつ、生産性も向上させることができました。

1週間に1度変更されるため、もしパスワードが漏洩しても影響は最長1週間です。パスワードの変更と管理は自動で行われているため、毎日変更しても手間は増えませんし、セキュリティはさらに向上します。

タイトルとURLをコピーしました