La mobilitat i el Mac
Els serveis de directori van ser concebuts inicialment per donar suport a diversos usuaris que inicien sessió en un sol ordinador connectat a un servei de directoris a través d’una connexió de xarxa fiable i contínua. La implementació d’un ordinador portàtil a un sol usuari que fa transicions freqüents entre diverses xarxes requereix una estratègia diferent.
Els dispositius mòbils rarament tenen accés al servei de directoris d’una organització. Per tant, qualsevol actualització dels serveis de directoris pot ser que no es reflecteixi als dispositius mòbils d’una manera immediata. Els administradors poden utilitzar MDM per actualitzar les polítiques i les configuracions de manera remota, encara que els ordinadors Mac no estiguin connectats sempre al servei de directoris.
El mateix procés i la mateixa estratègia per implementar configuracions i polítiques a l’iOS i l‘iPadOS es poden aplicar al macOS. Utilitzant el servei APNS (Apple Push Notification Service), una solució MDM pot notificar als ordinadors Mac que està disponible una actualització de la configuració o de la política. Quan un Mac rep una notificació push, aquesta comprova de manera silenciosa i segura la solució MDM mitjançant el protocol SSL (Secure Socket Layer) o TLS (Transport Layer Security) per obtenir les dades de la configuració o la política actualitzades, sempre que el client disposi de connexió a internet. En aquest context, no hi ha cap requisit previ perquè el dispositiu pertanyi a una VPN o a una xarxa explícitament fiable.
L’ús d’una solució MDM o d’una solució de gestió de clients ofereix molts dels avantatges originals de vincular un servei de directoris i d’utilitzar comptes de xarxa. Les polítiques de contrasenya i de client, incloses les identitats de certificat, es poden implementar i actualitzar per una connexió sense fil. Els dispositius encara es poden vincular al servei de directoris a nivell del sistema per proporcionar una resolució d’usuaris i grups per a l’autorització de serveis, com ara servidors d’arxius de xarxa. D’aquesta manera, s’elimina la complexitat de mantenir comptes de xarxa al Mac local.
L’inici de sessió únic encara és possible a la línia d’ordres mitjançant l’ordre kinit, que es pot implementar a AppleScript per crear una senzilla app gràfica per adquirir la credencial o tiquet Kerberos original.