Služba Active Directory a mobilita na Macu
Adresářové služby mohou pojmout ohromné množství citlivých dat a proto vyžadují zabezpečení. Téměř vždy je dotazování služby omezeno na důvěryhodná zařízení či důvěryhodné sítě. To znamená, že vzdálené počítače, například notebooky, vyžadují pro přístup k adresářové službě aktivní připojení VPN.
Pověření uložená v místní mezipaměti
Mobilní uživatelské účty ukládají do mezipaměti údaje uživatele, včetně jeho hesla, aby se mohl k Macu přihlásit, i když je odpojen od sítě organizace. Změny provedené v adresářové službě nebudou v Macu aktualizovány, dokud se znovu nepřipojí k síti organizace.
Změna hesla mobilního účtu
Pokud chcete v Macu změnit heslo mobilního uživatelského účtu, který je svázaný s adresářovou službou, otevřete Předvolby systému a klikněte na Uživatelé a skupiny, když je počítač připojen k adresářové službě.
Abyste ověřili připojení k adresářové službě, klikněte na Volby přihlášení na bočním panelu v rámci panelu předvoleb Uživatelé a skupiny. Poté zkontrolujte pole Server síťových účtů. Zelený indikátor informuje, že je adresářová služba dostupná. Vyberte mobilní uživatelský účet na bočním panelu a poté klikněte na tlačítko Změnit heslo.
Tento proces zajišťuje změnu hesla uživatelského účtu na třech místech:
Vzdálená adresářová služba
Místní mezipaměť s uloženými pověřeními (/private/var/db/dslocal/)
Datové úložiště přihlašovacího svazku klíčů uživatele
Přihlašovací svazek klíčů je zašifrované datové úložiště v domovské složce uživatele, které obsahuje citlivé údaje, například hesla aplikací a internetových stránek a také identity uživatelských certifikátů. Standardně je heslo k dešifrování tohoto datového úložiště stejné jako heslo uživatelského účtu a úložiště je tak automaticky odemknuto při přihlášení.
Pokud dojde ke změně hesla síťového účtu v okamžiku, kdy Mac není aktivně připojen k adresářové službě, bude heslo změněno pouze v místním úložišti pověření. Jakmile se uživatel znovu připojí ke vzdálené adresářové službě a přihlásí se, služba bude aktualizována a Mac nebude moci odemknout přihlašovací svazek klíčů. Uživatel musí zadat předchozí heslo i nové heslo, aby došlo k aktualizaci datového úložiště přihlašovacího svazku klíčů. Pokud uživatel nemůže předchozí heslo zadat, má možnost vytvořit nový přihlašovací svazek klíčů.
V případě výhradně místních účtů lze aplikovat pravidla pro hesla pomocí konfiguračního profilu. Lze tak zajistit soulad s pravidly organizace při zjednodušení synchronizace přihlašovacího svazku klíčů a hesla uživatelského účtu.