Active Directory og mobilitet
Katalogtjenester kan oppbevare store mengder sensitive data og bør være sikret. Tilkobling til tjenesten er nesten alltid begrenset til godkjente enheter på godkjente nettverk. Dette betyr at eksterne datamaskiner, som bærbare PC-er, krever en aktiv VPN-tilkobling for å få tilgang til katalogtjenesten.
Lokalt bufrede opplysninger
Mobile brukerkontoer bufrer brukerens informasjon, inkludert passordet, slik at brukeren kan logge på Mac-en når den er frakoblet organisasjonens nettverk. Endringer som gjøres i katalogtjenesten vil ikke bli oppdatert på Macen før den kobler seg til organisasjonens nettverk igjen.
Endre passord på en mobil konto
Hvis du vil endre passordet på en mobil brukerkonto på en Mac som er bundet til katalogtjenesten, åpner du Systemvalg og klikker deretter på Brukere og grupper mens datamaskinen er tilkoblet katalogtjenesten.
Hvis du vil bekrefte tilkoblingen til katalogtjenesten, klikker du på Påloggingsvalg i sidepanelet i Brukere og grupper-valgpanelet og markerer deretter i Nettverkskontotjener-feltet. En grønn indikator betyr at katalogtjenesten er tilgjengelig. Velg den mobile brukerkontoen i sidepanelet, og klikk deretter på Endre passord-knappen.
Prosessen sikrer at passordet for brukerkontoen blir endret på tre steder:
Den eksterne katalogtjenesten
Den lokalt bufrede opplysningsplasseringen (/private/var/db/dslocal/)
Dataplasseringen på brukerens påloggingsnøkkelring
Påloggingsnøkkelringen er en kryptert dataplassering i brukerens Hjem-mappe som inneholder sensitiv informasjon som program- og Internett-passord samt brukersertifikatidentiteter. Passordet for å dekryptere disse opplysningene er som standard det samme som brukerkontopassordet og blir automatisk låst opp ved pålogging.
Hvis nettverkskontopassordet blir endret mens en Mac ikke er aktivt tilkoblet katalogtjenesten, blir det kun endret på den lokalt bufrede opplysningsplasseringen. Når brukeren igjen kobler seg til katalogtjenesten og logger seg på, vil den eksterne katalogtjenesten bli oppdatert og Macen vil ikke kunne låse opp påloggingsnøkkelringen. Brukeren må oppgi forrige passord og det nye passordet for å oppdatere dataene på påloggingsnøkkelringen. Hvis brukeren ikke kan oppgi det gamle passordet, finnes det et alternativ for å lage en ny påloggingsnøkkelring.
Med kun lokale kontoer kan passordregler tas i bruk med en konfigurasjonsprofil. Dette sikrer at organisasjonens regler blir overholdt, samtidig som det forenkler synkronisering av påloggingsnøkkelringen og brukerkontopassordet.