Mac i mobilność
Usługi katalogowe powstały początkowo w celu obsługi logowania wielu użytkowników na pojedynczym komputerze połączonym z usługą katalogową przez stałe i zaufane łącze sieciowe. Wdrożenie komputera przenośnego dla pojedynczego użytkownika, który często korzysta z różnych sieci, wymaga odmiennej strategii.
Urządzenia przenośne mogą mieć rzadki dostęp do należącej do organizacji usługi katalogowej. W efekcie uaktualnienia wprowadzane w usługach katalogowych mogą nie pojawiać się na urządzeniach przenośnych od razu. Administratorzy mogą zdalnie uaktualniać zasady i konfiguracje przy użyciu MDM, nawet gdy komputery Mac nie są stale podłączone do usługi katalogowej.
Ten sam proces i ta sama filozofia wdrażania konfiguracji i zasad w systemie iOS i iPadOS może być stosowana również w systemie macOS. Rozwiązanie MDM może powiadamiać komputery Mac, gdy dostępne jest uaktualnienie konfiguracji lub zasad, używając usługi APNS (Apple Push Notification Service). Gdy Mac otrzymuje powiadomienie push, łączy się bezpiecznie w tle z rozwiązaniem MDM, używając protokołu SSL lub TLS, aby pobrać uaktualnione dane zasad lub konfiguracji (pod warunkiem, że klient ma połączenie z Internetem). Ten scenariusz nie wymaga, aby urządzenie było połączone przez VPN lub połączone z zaufaną siecią.
Korzystanie z rozwiązania MDM lub rozwiązania obejmującego zarządzanie klientem zapewnia wiele zalet dowiązania do usługi katalogowej i używania kont sieciowych. Zasady haseł i klientów, w tym również certyfikaty tożsamości, mogą być wdrażanie i uaktualniane bezprzewodowo. Urządzenia nadal mogą być dowiązane do usługi katalogowej na poziomie systemu, aby zapewniać dane użytkowników i grup używane podczas uwierzytelniania w różnych usługach, na przykład sieciowych serwerach plików. Eliminuje to złożoność związaną z zarządzaniem kontami sieciowymi na Macu lokalnym.
Nadal możliwe jest wykonanie pojedynczego logowania przy użyciu narzędzia kinit w wierszu poleceń, które można zaimplementować w skrypcie AppleScript, aby utworzyć prostą aplikację z interfejsem graficznym, pozwalającą na pobranie początkowego biletu Kerberos.