Active Directory et la mobilité
Les services d’annuaire peuvent contenir de grandes quantités de données sensibles et doivent être sécurisés. Dans la majorité des cas, l’envoi de requêtes au service est réservé aux appareils fiables sur les réseaux de confiance. Cela signifie que les ordinateurs distants tels que les ordinateurs portables doivent utiliser une connexion VPN pour accéder au service de répertoire.
Informations d’identification mises en cache localement
Les comptes utilisateur mobiles mettent en cache les informations de l’utilisateur, y compris son mot de passe, afin que l’utilisateur puisse se connecter au Mac lorsqu’il n’est pas connecté au réseau de l’organisation. Les modifications apportées au service d’annuaire ne sont pas mises à jour sur le Mac tant qu’il ne se connecte pas au réseau de l’organisation.
Modification du mot de passe d’un compte mobile
Pour modifier le mot de passe d’un compte utilisateur mobile sur un Mac lié au service d’annuaire, ouvrez les Préférences système, puis cliquez sur Utilisateurs et groupes. L’ordinateur doit être connecté au service d’annuaire.
Pour vérifier la connectivité du service d’annuaire, cliquez sur Options dans la sous-fenêtre des préférences Utilisateurs et groupes, puis vérifiez le champ Compte serveur réseau. Si l’indicateur est vert, cela signifie que le service d’annuaire est disponible. Sélectionnez le compte utilisateur mobile dans la barre latérale, puis cliquez sur le bouton Modifier le mot de passe.
Ce processus garantit que le mot de passe du compte utilisateur est modifié à trois endroits :
Au niveau du service d’annuaire distant
Dans l’espace de stockage des informations d’identification mises en cache localement (/private/var/db/dslocal/)
Dans l’espace de stockage de données du trousseau de session de l’utilisateur
Le trousseau de session est un emplacement de stockage chiffré se trouvant dans le dossier de départ de l’utilisateur, et contenant des informations sensibles, telles que les mots de passe des applications et d’Internet, et les identités de certificat utilisateur. Par défaut, le mot de passe permettant de déchiffrer cet emplacement de stockage est le même que le mot de passe du compte utilisateur, et il est automatiquement déverrouillé au moment de l’ouverture de session.
Si le mot de passe du compte réseau est modifié alors que le Mac n’est pas activement connecté au service d’annuaire, la modification est uniquement prise en compte dans l’emplacement de stockage des informations d’identification mises en cache localement. Lorsque l’utilisateur se reconnecte au service d’annuaire et ouvre sa session, le service d’annuaire distant est mis à jour et le Mac ne peut pas déverrouiller le trousseau de session. Pour mettre à jour l’emplacement de stockage du trousseau de session, l’utilisateur doit fournir le mot de passe précédent et le nouveau. Si l’utilisateur ne peut pas fournir le mot de passe précédent, il peut créer un nouveau trousseau de session.
Pour les comptes en local uniquement, des règles de mot de passe peuvent être appliquées à l’aide d’un profil de configuration. Cela garantit le respect des règles de l’organisation, tout en simplifiant la synchronisation du trousseau de session et du mot de passe du compte utilisateur.