Mobilità e Mac
I servizi di directory sono stati inizialmente concepiti per supportare più utenti che accedono a un singolo computer connesso al servizio di directory tramite una connessione di rete permanente e attendibile. Distribuire un computer portatile a un singolo utente che alterna frequentemente reti diverse richiede una strategia differente.
I dispositivi mobili possono raramente avere accesso al servizio di directory di un’organizzazione. Pertanto, tutti gli aggiornamenti effettuati nei servizi di directory non possono essere riflessi immediatamente sui dispositivi mobili. Gli amministratori possono utilizzare MDM per aggiornare le politiche e le configurazioni da remoto, anche se i Mac non sono costantemente collegati al servizio di directory.
Lo stesso processo e la filosofia per le configurazioni di distribuzione e le politiche per iOS e iPadOS possono essere applicati a macOS. Utilizzando il servizio Notifiche push di Apple (APN), una soluzione MDM può inviare notifiche ai Mac sulla disponibilità un aggiornamento della configurazione o di una politica. Quando un Mac riceve la notifica push, controlla silenziosamente in modo sicuro con la soluzione MDM utilizzando il protocollo SSL (Secure Socket Layer) o TLS (Transport Layer Security) per recuperare i dati di politica o di configurazione aggiornati, finché il client è connesso a Internet. In questo scenario, non vi è alcun prerequisito per il dispositivo di essere su VPN o una rete esplicitamente attendibile.
Molti dei vantaggi originali della combinazione di un servizio di directory con l’uso degli account di rete derivano dall’utilizzo di una soluzione MDM o di gestione dei client. Le politiche di password e client, tra cui le identità dei certificati, possono essere implementati e aggiornati in modalità wireless. I dispositivi possono essere ancora vincolati al servizio di directory a livello di sistema per fornire la risoluzione di utenti e gruppi per l’autorizzazione a servizi tra cui server file di rete. Questo elimina la complessità della gestione degli account di rete sul Mac locale.
Single Sign-On può essere ancora raggiunto utilizzando la linea di comando kinit, che può essere implementata in AppleScript per creare una app grafica semplice per acquisire il ticket Kerberos iniziale.