Movilidad y Mac
Los servicios de directorio fueron concebidos inicialmente para permitir el inicio de sesión de varios usuarios en una computadora conectada al servicio de directorio a través de una conexión de red fiable y persistente. El despliegue de una computadora portátil para un usuario que frecuentemente cambiar entre una variedad de redes requiere una estrategia diferente.
No es común que los dispositivos móviles tengan acceso a los servicios de directorio de una organización. Por lo tanto, las actualizaciones realizadas en el servicio de directorio pueden no reflejarse en los dispositivos móviles inmediatamente. Los administradores pueden usar MDM para actualizar las políticas y configuraciones de forma remota, incluso si las computadoras Mac no están conectadas constantemente al servicio de directorio.
El mismo proceso y filosofía para desplegar configuraciones y políticas en iOS se puede aplicar en macOS. Al usar el servicio de Notificaciones Push de Apple (APNS), una solución MDM puede notificar a las computadoras Mac que existe una actualización de políticas o configuración disponible. Cuando una Mac recibe la notificación push, la computadora verifica de forma silenciosa y segura con la solución MDM utilizando el protocolo de Capa de Conexión Segura (SSL) o el de Seguridad de la Capa de Transporte (TLS) para obtener los datos actualizados de la configuración o las políticas, siempre y cuando el cliente cuente con una conexión Internet. En este escenario, no se aplica el prerrequisito que quiere que el dispositivo esté en una VPN o en una red fiable.
Muchos de los beneficios originales de enlazarse con un servicio de directorio y de utilizar cuentas de red se proporcionan al usar una solución MDM o una solución de administración de clientes. Las políticas de clientes y contraseñas, incluyendo las identidades de certificados, se pueden desplegar y actualizar de forma inalámbrica. Los dispositivos aún pueden estar enlazados al servicio de directorio al nivel del sistema para proporcionar resolución de grupos y usuarios para la autorización de servicios tales como servidores de archivos en red. Esto elimina la complejidad de mantener cuentas en red en la Mac local.
Al utilizar la línea de comando kinit aún es posible regresar el inicio de sesión único, el cual se puede implementar en AppleScript para crear una app de gráficos simple a fin de adquirir el ticket de Kerberos inicial.