Active Directory i la mobilitat al Mac
Els serveis de directori poden contenir una gran quantitat de dades importants i cal garantir-ne la seguretat. Gairebé sempre, la consulta del servei està limitada a dispositius fiables en xarxes de confiança. Això significa que els ordinadors remots, com ara els ordinadors portàtils, requereixen una connexió VPN activa per accedir al servei de directoris.
Credencials en la memòria cau local
Els comptes d’usuari mòbils desen a la memòria cau la informació de l’usuari, inclosa la contrasenya, per tal que l’usuari pugui iniciar sessió al Mac quan no estigui connectat a la xarxa de l’organització. Els canvis que s’efectuïn al servei de directoris no s’actualitzen al Mac fins que aquest es torna a connectar a la xarxa de l’organització.
Canviar la contrasenya d’un compte mòbil
Per canviar la contrasenya d’un compte d’usuari mòbil en un Mac vinculat al servei de directoris, obre les preferències del sistema i fes clic a “Usuaris i grups” mentre l’ordinador estigui connectat al servei de directoris.
Per verificar la connexió al servei de directoris, fes clic a “Opcions inici sessió” a la barra lateral del tauler de preferències “Usuaris i grups” i consulta el camp “Servidor de compte de xarxa”. Un indicador verd significa que el servei de directoris està disponible. Selecciona el compte d’usuari mòbil a la barra lateral i fes clic al botó “Canviar la contrasenya”.
Aquest procés garanteix que la contrasenya del compte d’usuari es modifica en tres llocs:
El servei de directoris remot
El contenidor de credencials desades a la memòria cau local (/private/var/db/dslocal/)
El contenidor de dades del clauer d’inici de sessió de l’usuari
El clauer d’inici de sessió és un contenidor de dades encriptades situat a la carpeta d’inici de l’usuari que conté informació important, com ara contrasenyes d’apps i d’internet i identitats de certificat d’usuari. Per omissió, la contrasenya per desencriptar aquest contenidor de dades és la mateixa que la del compte d’usuari, i es desbloqueja automàticament durant l’inici de sessió.
Si es modifica la contrasenya del compte de xarxa mentre un Mac no està activament connectat al servei de directoris, només es canvia al contenidor de credencials desades a la memòria cau local. Quan l’usuari es torna a connectar al servei de directoris i inicia sessió, el servei de directoris remot s’actualitza i el Mac no pot desbloquejar el clauer d’inici de sessió. L’usuari ha d’introduir la contrasenya anterior i la nova per actualitzar el contenidor de dades del clauer d’inici de sessió. Si l’usuari no pot proporcionar la contrasenya anterior, hi ha la possibilitat de crear un nou clauer d’inici de sessió.
En el cas de comptes que només són locals, es pot aplicar una política de contrasenya amb un perfil de configuració. Això garanteix el compliment de la política de l’organització i, alhora, simplifica la sincronització del clauer d’inici de sessió i de la contrasenya del compte d’usuari.