Active Directory y movilidad
Los servicios de Directory pueden almacenar vastas cantidades de datos confidenciales, y deberían mantenerse seguros. Casi siempre, la solicitud del servicio está restringida a dispositivos fiables en redes fiables. Eso significa que las computadoras remotas, tales como las computadoras portátiles, requieren una conexión VPN activa para acceder al servicio de directorio.
Credenciales en caché local
Las cuentas de usuarios móviles guardan en caché la información del usuario, incluyendo su contraseña, a fin de poder iniciar sesión en la Mac cuando esté desconectada de la red de la organización. Los cambios realizados en el servicio de directorio no se actualizarán en la Mac hasta que te vuelvas a conectar a la red de la organización.
Cambiar la contraseña de una cuenta móvil
Para cambiar una contraseña de la cuenta del usuario móvil en una Mac que está enlazada a un servicio de directorio, abre Preferencias del Sistema y haz clic en “Usuarios y grupos” mientras la computadora está conectada al servicio de directorio.
Para verificar la conectividad al servicio de directorio, haz clic en Opciones en la barra lateral del panel de preferencias “Usuarios y grupos”, y verifica el campo “Servidor de cuentas de red”. Un indicador verde significa que el servicio de directorio está disponible. Selecciona la cuenta de usuario móvil en la barra lateral y haz clic en el botón “Cambiar contraseña”.
Este proceso asegura que la contraseña de la cuenta del usuario se cambia en tres ubicaciones:
El servicio de directorio remoto
El almacenamiento de credenciales en caché local (/privado/var/db/dslocal/)
El almacenamiento de datos del llavero de inicio de sesión del usuario
El llavero de inicio sesión es un almacenamiento de datos encriptados en la carpeta de inicio del usuario que contiene información confidencial, tal como contraseñas de apps e Internet así como las identidades de certificados del usuario. Por omisión, la contraseña para desencriptar este almacenamiento de datos es la misma que la contraseña de la cuenta del usuario, y se desbloquea automáticamente al iniciar sesión.
Si se cambia la contraseña de la cuenta de red mientras la Mac no está conectada activamente al servicio de directorio, sólo se cambia en el almacenamiento de credenciales en caché local. Cuando el usuario se vuelve a conectar al servicio de directorio e inicia sesión, el servicio de directorio se actualiza y la Mac no puede desbloquear el llavero de inicio de sesión. El usuario debe proporcionar la contraseña anterior y la nueva para actualizar el almacenamiento de datos del llavero de inicio de sesión. Si el usuario no puede proporcionar la contraseña anterior, existe una opción para crear un nuevo llavero de inicia sesión.
Con las cuentas locales, se puede aplicar una política de contraseñas con un perfil de configuración. Esto asegura el cumplimiento de la política organizacional y, a la vez, simplifica la sincronización del llavero de inicio de sesión y la contraseña de la cuenta del usuario.