La mobilité et les Mac
Les services d’annuaire étaient à l’origine conçus pour prendre en charge la connexion de plusieurs utilisateurs à un seul ordinateur connecté au service à l’aide d’une connexion réseau fiable et persistante. Le déploiement d’un ordinateur portable pour un utilisateur unique qui passe souvent d’un réseau à un autre requiert une stratégie différente.
Les appareils mobiles ont rarement accès au service d’annuaire d’une organisation. Ainsi, les modifications apportées aux services d’annuaire ne sont pas forcément immédiatement appliquées aux appareils mobiles. Les administrateurs peuvent utiliser le service MDM pour mettre à jour les règles et les configurations à distance, même si les ordinateurs Mac ne sont pas constamment connectés au service d’annuaire.
Le processus et le principe utilisés pour le déploiement de configurations et de règles sur iOS et iPadOS peuvent être appliqués à macOS. Si le service Apple Push Notification (APNS) est utilisé, une solution MDM peut indiquer aux ordinateurs Mac qu’une nouvelle configuration ou règle est disponible. Lorsqu’un Mac reçoit la notification push, il établit une connexion automatique et sécurisée avec la solution MDM à l’aide du protocole Secure Socket Layer (SSL) ou Transport Layer Security (TLS) afin de récupérer la règle ou les données de configuration, tant que le client dispose d’une connexion Internet. Dans ce cas, l’appareil n’a pas besoin d’être connecté à un réseau VPN ou à un réseau explicitement fiable.
Vous retrouverez un grand nombre des avantages initiaux associés à la liaison d’un service d’annuaire et à l’utilisation de comptes réseau si vous utilisez une solution MDM ou une solution de gestion de clients. Les règles liées aux mots de passe et aux clients, y compris les identités de certificat, peuvent être déployées et mises à jour à distance. Les appareils peuvent malgré tout être liés au service d’annuaire au niveau système, afin de fournir une résolution d’utilisateur et de groupe pour l’accès aux services tels que les serveurs de fichiers en réseau. Cela élimine la complexité liée au maintien des comptes réseau sur le Mac local.
L’authentification unique peut encore être utilisée grâce à la ligne de commande kinit, qui peut être intégrée à AppleScript pour créer une app graphique simple permettant de récupérer le ticket Kerberos initial.