Sophos SafeGuard Disk Encryption for Mac: Die Single Sign On Funktion und Einschränkungen

  • Artikel-ID: 116756
  • Aktualisiert: 17 Apr 2012

Dieser Artikel gibt einen Überblick zur SSO (Single Sign On) Funktion sowie zu den geltenden Einschränkungen in Sophos SafeGuard Disk Encryption for Mac. Dieses Feature ist ab Version 6.00.0 verfügbar.

Betrifft die folgenden Sophos Produkte/Versionen:

Sophos SafeGuard Disk Encryption for Mac 6.00.0

Vorgehensweise

Single Sign On zwischen Power-on Authentication und Mac OS X mit einfacher Kennwortsynchronisierung

Sophos SafeGuard Disk Encryption for Mac 6.0 lässt sich in einem Modus betreiben, in dem Benutzer nur Ihre Anmeldedaten in der Power-on Authentication eingeben müssen und automatisch an Mac OS X als einzelne Benutzer angemeldet werden. Für Single Sign On müssen die Benutzer dieselben Benutzernamen und Kennwörter in der Power-on Authentication und in Mac OS X haben.

Außerdem müssen für Single Sign On einige technische Voraussetzungen erfüllt sein. Für weitere Informationen, siehe "Single Sign On (SSO) und Kennwortsynchronisierung".

Sophos SafeGuard Disk Encryption for Mac bietet auch ein Feature zum Ändern der Kennwörter in der Power-on Authentication und in Mac OS X. Dabei werden die Kennwörter synchron gehalten. Sophos SafeGuard Disk Encryption for Mac 6.0 löst die Kennwortänderung aus. Dies wird für lokale Mac OS X Benutzer und für Active Directory Mobility Accounts unterstützt.

Folgende Einschränkungen gelten für Single Sign On zwischen der Sophos SafeGuard Disk Encryption POA und Mac OS X:

Das Single Sign On Feature von Sophos SafeGuard Disk Encryption for Mac 6.0 ist von zwei Mac OS X Einstellungen abhängig. Es handelt sich um die Einstellungen Automatic login und Display login window as. Automatic login muss aktiviert sein.

Eigentlich wäre die Einstellung von "Display login window as" nicht relevant. Bei Mac OS X 10.7 (Lion) sind jedoch Probleme aufgetreten. Zum Zeitpunkt der Release von Sophos SafeGuard Disk Encryption for Mac 6.0 ist die aktuelle Mac OS X Release die Version 10.7.2. Um Probleme bei Mac OS X 10.7 (Lion) zu vermeiden, stellen Sie "Display login window as" auf "List of users" ein.

  1. “Display login window as” darf nicht auf “Name and password” eingestellt sein.

    Unter Mac OS X 10.7 muss "Display login window as" auf "List of users" eingestellt sein. Wenn unter Mac OS X 10.7 (Lion) die Option "Name and Password" verwendet wird, treten bei einem erfolgreichen Single Sign On zwar keine Probleme auf, nach einem nicht erfolgreichen Single Sign On ist Mac OS X jedoch nicht mehr benutzbar. Das heißt, Sie können sich nicht mehr anmelden. Dies kann zum Beispiel dann passieren, wenn die Kennwörter eines Benutzers in der POA und in Mac OS X nicht mehr synchron sind, oder der SafeGuard-Benutzer nicht mehr in Mac OS X existiert.

    Wir haben dieses Verhalten bei allen OS X 10.7 Builds festgestellt, die vor März 2012 freigegeben wurden. Bei der Preview-Version von Mac OS X 10.8 (Mountain Lion) ist dieses Verhalten nicht mehr aufgetreten.

  2. Um die Single Sign On Funktion von Sophos SafeGuard Disk Encryption for Mac benutzen zu können, darf "Automatic login" nicht auf "Off" eingestellt sein.

    Ist dies der Fall, so wird der Single Sign On Vorgang in der Mac OS X Anmeldung gestoppt und Mac OS X wartet auf Benutzerinteraktion. Durch Klicken auf einen der angezeigten Benutzernamen wird der Anmeldevorgang fortgesetzt. Dabei spielt es keine Rolle, auf welchen Benutzernamen Sie klicken. Single Sign On wird fortgesetzt und der Benutzer, der an der POA angemeldet wurde, wird an Mac OS X angemeldet.
    Mit sgadmin --enable-sso wird sichergestellt, dass diese Einstellung auf einen korrekten Wert gesetzt ist (nicht "Off"). Sie sollten die Einstellung jedoch später nicht auf Off setzen, wenn das Produkt installiert oder Sophos SafeGuard Disk Encryption Single Sign On aktiviert ist. Um Single Sign On korrekt zu deaktivieren, muss sgadmin --disable-sso aufgerufen werden. Dadurch wird "Automatic login" wieder auf Off gesetzt und Single Sign On wird deaktiviert.

Single Sign On (SSO) und Kennwortsynchronisierung

Sophos SafeGuard Disk Encryption for Mac 6.0 lässt sich in einem Modus betreiben, in dem Benutzer sich nur an der Power-on anmelden müssen und automatisch an Mac OS X als einzelne Benutzer angemeldet werden. Um SSO zu ermöglichen, müssen die Benutzer identische Benutzernamen und Kennwörter in der Power-on Authentication und in Mac OS X haben.

Der Sophos SafeGuard Administrator muss daher die SafeGuard-Benutzer initial so erstellen, dass die Benutzernamen den Mac OS X Benutzern entsprechen, mit denen SSO durchgeführt werden soll.

Hinweis: Sophos SafeGuard Disk Encryption for Mac 6.0 bietet SSO für lokale Mac OS X Benutzer und für Active Directory Mobility Accounts.

So richten Sie Single Sign On ein:

  1. In Sophos SafeGuard Disk Encryption for Mac muss ein Benutzer angelegt werden, der mit dem entsprechenden Mac OS X Benutzer übereinstimmt. Die Benutzernamen und Kennwörter müssen identisch sein. Der Mac OS X Benutzer kann entweder ein lokaler Benutzer oder ein Active Directory Mobility Account sein.
  2. SSO muss zunächst in Sophos SafeGuard Disk Encryption for Mac aktiviert werden. Dies muss über die Kommandozeile mit folgendem Kommando erfolgen:

    sgadmin --enable-sso (sgadmin --disable-sso deaktiviert SSO.)
  3. Nach Anmeldung an der POA mit dieser Benutzer-ID wird der Benutzer automatisch an Mac OS X angemeldet.

Wie bereits beschrieben, muss die Mac OS X 10.7 Einstellung "Display login window as" auf "List of user" gesetzt werden.

Außerdem bietet Sophos SafeGuard Disk Encryption for Mac 6.0 ein Feature zum Ändern der Kennwörter in Power-on Authentication und Mac OS X mit Synchronisierung. Die Kennwörter bleiben somit synchron.

Hinweis: Dieses Feature hat einige Einschränkungen, vor allem im Vergleich zu SafeGuard Enterprise für Windows.

  • Der Dialog für das Ändern des Kennworts in Sophos SafeGuard Disk Encryption for Mac löst die Kennwortänderung aus.
  • Wenn der derzeit angemeldete SafeGuard-Benutzer und der Mac OS X Benutzer identische Benutzernamen haben, wird im Dialog für die Kennwortänderung das Kontrollkästchen "Kennwörter synchronisieren" angezeigt.

  • Wenn der Benutzer dieses Kontrollkästchen ausgewählt lässt und auf "OK" klickt, versucht Sophos SafeGuard, das Kennwort (Benutzerkennwort und Schlüsselring-Kennwort) in Sophos SafeGuard Disk Encryption und in Mac OS X zu ändern und die Kennwörter zu synchronisieren.
  • Kann dies erfolgreich durchgeführt werden, so aktualisiert Sophos SafeGuard Disk Encryption for Mac einfach den "Geändert" Zeitstempel.

  • Lässt sich eines der drei Kennwörter nicht ändern, bleiben alle Kennwörter unverändert. Dies ist zum Beispiel der Fall, wenn ein neues Kennwort die Kennwortregeln von Sophos SafeGuard Disk Encryption for Mac oder Mac OS X oder des Active Directory verletzt. In diesem Fall wird kein Kennwort geändert, alle Kennwörter behalten Ihre alten Werte.
  • Wenn der Benutzer das Kontrollkästchen "Kennwörter synchronisieren deaktiviert", wird nur das Kennwort in Sophos SafeGuard Disk Encryption for Mac geändert.
  • Das Kontrollkästchen "Kennwörter synchronisieren" steht nur für einen an Mac OS X angemeldeten Benutzer zur Verfügung.

 
Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Artikel bewerten

Ungenügend Hervorragend

Anmerkungen