Active Directory i mobilnost na Macu
Usluge direktorija mogu sadržavati veliku količinu osjetljivih podataka i trebale bi biti sigurne. Ispitivanje usluge gotovo je uvijek ograničeno na pouzdane uređaje na pouzdanim mrežama. To znači da udaljena računala poput laptopa zahtijevaju aktivnu VPN vezu za pristup usluzi direktorija.
Vjerodajnice u lokalnoj pričuvnoj memoriji
Mobilni korisnički računi u pričuvnoj memoriji čuvaju korisničke informacije, uključujući njihovu lozinku, kako bi se korisnik mogao prijaviti na Mac računalo kada je odspojen s mreže organizacije. Promjene unesene u uslugu direktorija neće se ažurirati na Macu dok se on ponovno ne spoji na mrežu organizacije.
Promjena lozinke mobilnog računa
Za promjenu lozinke mobilnog računa na Macu koji je povezan s uslugom direktorija odaberite Apple izbornik > Postavke sustava, pa kliknite Korisnici i grupe u rubnom stupcu, dok je računalo spojeno na uslugu direktorija.
Za provjeru povezivosti na uslugu direktorija, provjerite polje “Poslužitelj mrežnog računa” s desne strane. Zeleni indikator znači da je usluga direktorija dostupna. Kliknite tipku Info pored mobilnog računa korisnika, zatim kliknite Promijeni lozinku.
Ovaj postupak osigurava da se lozinka korisničkog računa promijeni na tri lokacije:
Usluga udaljenog direktorija
Skladište vjerodajnica u lokalnoj pričuvnoj memoriji (/private/var/db/dslocal/)
Skladište podataka za prijavu privjeska ključeva korisnika
Privjesak ključeva za prijavu je kriptirano skladište podataka u početnoj mapi korisnika koje sadrži osjetljive informacije poput lozinki za aplikacije i internet, kao i identitete korisničkih certifikata. Lozinka za dekripciju ovog skladišta podataka standardno je ista kao lozinka korisničkog računa, te se automatski otključava nakon prijave.
Ako se lozinka mrežnog računa promijeni dok Mac nije aktivno povezan s uslugom direktorija, mijenja se samo u skladištu vjerodajnica u lokalnoj pričuvnoj memoriji. Kada se korisnik ponovno spoji na uslugu direktorija i prijavi, usluga udaljenog direktorija se ažurira te Mac ne može otključati privjesak ključeva za prijavu. Korisnik mora unijeti prethodnu lozinku i novu lozinku za ažuriranje skladišta podataka za prijavu privjeska ključeva. Ako korisnik ne može unijeti prethodnu lozinku, postoji opcija izrade novog privjeska ključeva za prijavu.
S računima koji su samo lokalni, pravila za lozinke mogu se primijeniti s konfiguracijskim profilom. To osigurava sukladnost s organizacijskom politikom dok se pojednostavnjuje sinkronizacija privjeska ključeva za prijavu i lozinke korisničkog računa.