
Jamf Pro 10.49 업데이트에서는 LAPS (Local Administrator Password Solution) 라는 기능을 API 로 구성 가능하도록 추가되었습니다.
LAPS 가 무엇이고 어떻게 사용하는 것인지 설명드리겠습니다.
1. LAPS 란?
LAPS 는 Local Administrator Password Solution 의 약자로 로컬 관리자의 패스워드를 관리하고 백업하는 기능입니다.
Jamf Pro 에서는 이것을 등록된 기기의 관리 계정 (숨겨진 계정) 에 적용하여 공통으로 사용중인 관리 계정의 패스워드를 일정한 주기로 랜덤한 문자열로 변경하여 관리 계정의 편리한 이점을 유지하면서 보안성을 높이는 용도로 사용합니다.
2. LAPS 구현 방법
LAPS 를 Jamf 에서 구현하는 방법은 2가지가 있습니다.
이 방법은 Apple 의 SetAutoAdminPassword 명령을 사용하며 오직 ADE(자동 기기 등록) 으로 등록된 기기에만 적용 가능합니다.
이 방법을 사용하면 macOS 설정 도우미 중에 생성한 Managed Administrator Account 의 패스워드를 관리할 수 있습니다.
이 방법은 Jamf 의 프레임워크를 이용하여 Jamf 에서 구성한 Master 계정을 관리할 수 있습니다.
Master 계정은 등록 중에 자동으로 생성하도록 구성할 수 있으며 등록 방식을 구분하지 않고 Master 계정이 있는 모든 기기에 적용 가능합니다.
3. LAPS 활성화
https://(회사의 jamf 인스턴스 이름).jamfcloud.com/api/doc 로 이동하여 Local Admin Password api 권한이 있는 계정으로 로그인 합니다.

PUT /v2/local-admin-password/settings 에서 Try It Out 을 클릭합니다.

autoDeployEnabled 와 autoRotateEnabled 를 true 로 설정합니다.
(선택)passwordRotationTime 으로 패스워드 감사 후 변경될 주기를 구성하고 autoRotateExpirationTime 으로 만료시간을 구성합니다.

4. LAPS 테스트
MDM 명령을 이용하여 LAPS 기능을 확인하려면 인벤토리에서 SetAutoAdminPassword 명령이 내려갔는지 확인하면 됩니다.

또 다른 방법은 직접 로컬 관리자 계정에 인증하여 테스트하는 것 입니다.
터미널에서 "su (로컬 관리자 계정)" 명령 실행시 기존에 설정한 패스워드를 입력하여 인증 가능한지 확인합니다.

만약 LAPS 가 정상적으로 동작했다면 터미널은 "su : Sorry" 라고 응답합니다.
로컬 관리자 계정의 패스워드를 확인하려면 몇가지 정보가 필요합니다.
우선 확인하려는 기기의 관리 ID 를 확인해야 합니다.
Jamf Pro 의 인벤토리에서 해당 기기의 ID 를 복사합니다.(관리 ID 와는 다릅니다.)

Jamf Pro API 의 GET /v1/computers-inventory-detail/{id} 에서 Try It Out 클릭 후 복사한 기기의 ID 를 입력하고 excute 를 눌러 실행합니다.

응답 세션에서 managementID 키를 찾아서 해당 값을 복사합니다.

Jamf Pro API 의 GET /v2/local-admin-password/{clientManagementId}/account/{username}/password 에서Try It Out 클릭 합니다.
이전에 복사한 managementID (관리 ID) 의 값과 로컬 관리자 계정의 이름을 입력하고 실행합니다.

응답 세션에서 로컬 관리자 계정의 패스워드를 확인 할 수 있습니다. (해당 패스워드는 확인 후 passwordRotationTime 까지만 유효합니다.)

터미널에서 명령어를 입력하여 로컬 관리자 계정에 로그인하여 패스워드가 동작하는지 확인합니다.

정상적으로 로그인 가능한 것을 확인할 수 있습니다.
5. LAPS 의 실용성
기존에는 사용자가 로컬 패스워드를 분실 했을 경우 Apple ID 를 이용하여 패스워드를 복구하고
Apple ID 도 분실 했을 경우에는 어쩔 수 없이 기기를 초기화 하였습니다.
만약 LAPS 를 사용한다면 숨겨진 관리자 계정으로 사용자의 기기에 접근하여 로컬 패스워드를 재설정 하여 부득이한 초기화를 막을 수 있습니다.
현재 LAPS 는 Jamf Pro 에서 API 로만 구현되어 있어 사용하는데 있어서 다소 불편한 감이 있습니다.
하지만 Jamf 는 향후에 이를 Jamf Pro 에서 손쉽게 구성할 수 있도록 인터페이스를 구현할 것 입니다.