Mobiliteit en de Mac
Adreslijstvoorzieningen waren aanvankelijk bedoeld om meerdere gebruikers in staat te stellen in te loggen op één computer die via een permanente vertrouwde netwerkverbinding met de adreslijstvoorziening is verbonden. Het gebruik van een draagbare computer door één gebruiker die geregeld van netwerk wisselt, vraagt om een andere strategie.
Er zijn mobiele apparaten die slechts zelden toegang hebben tot de adreslijstvoorziening van de organisatie. Updates van de adreslijstvoorziening zijn daardoor vaak niet meteen op de mobiele apparaten beschikbaar. Beheerders kunnen MDM gebruiken om de beleidsregels en configuraties op afstand bij te werken, zelfs als de Macs niet continu met de adreslijstvoorziening zijn verbonden.
De werkwijze en principes voor het implementeren van configuraties en beleidsregels in iOS en iPadOS kunnen ook in macOS worden toegepast. Met een MDM-oplossing op basis van APNS (Apple Push Notification Service) kan aan Macs worden doorgegeven dat er configuratie- of beleidsupdates zijn. Wanneer een Mac de pushmelding ontvangt, wordt in de achtergrond via het SSL-protocol (Secure Socket Layer) of TLS-protocol (Transport Layer Security) veilig verbinding gemaakt met de MDM-oplossing om de bijgewerkte beleids- of configuratiegegevens op te halen. De client heeft hiervoor alleen een internetverbinding nodig. Bij dit scenario is op het apparaat geen verbinding met een VPN of een expliciet vertrouwd netwerk vereist.
Met een MDM-oplossing of oplossing voor clientbeheer profiteer je van veel van de voordelen die een koppeling met een adreslijstvoorziening en het gebruik van netwerkaccounts bieden. Je kunt draadloos een wachtwoord- en clientbeleid implementeren en bijwerken, inclusief een beleid voor certificaatidentiteiten. Op systeemniveau kunnen apparaten nog altijd aan de adreslijstvoorziening worden gekoppeld om de identiteiten van gebruikers en groepen te controleren voor het gebruik van bepaalde voorzieningen, waaronder de bestandsservers in een netwerk. Het complexe beheer van netwerkaccounts op de lokale Mac wordt hierdoor overbodig.
Single Sign-on kan nog steeds tot stand worden gebracht met behulp van het commandoregelcommando kinit. Hiermee kan in AppleScript een app met een eenvoudige grafische interface worden gemaakt waarmee het eerste Kerberos-ticket kan worden verkregen.