Active Directory e mobilidade no Mac
Os serviços de diretório podem conter quantidades enormes de dados confidenciais, devendo ser mantidos em segurança. Quase sempre, a consulta ao serviço é restrita a dispositivos confiáveis em redes confiáveis. Isso significa que computadores remotos, como laptops, requerem uma conexão VPN ativa para acessar o serviço de diretório.
Credenciais armazenadas em cache local
As contas de usuários móveis armazenam as informações do usuário em cache (inclusive sua senha) para que ele possa iniciar a sessão no Mac quando estiver desconectado da rede empresarial. As alterações feitas ao serviço de diretório não serão atualizadas no Mac até que ele seja reconectado à rede empresarial.
Alteração da senha de uma conta móvel
Para alterar a senha da conta de um usuário móvel em um Mac vinculado ao serviço de diretório, abra as “Preferências do Sistema” e clique em “Usuários e Grupos” enquanto o computador estiver conectado ao serviço de diretório.
Para verificar a conectividade ao serviço de diretório, clique em “Opções de Início” na barra lateral do painel de preferências “Usuários e Grupos” e verifique o campo “Servidor de Contas de Rede”. Um indicador verde significa que o serviço de diretório está disponível. Selecione a conta de usuário móvel na barra lateral e clique no botão Alterar Senha.
Esse processo garante a alteração da senha da conta de usuário em três locais:
No serviço de diretório remoto;
No armazenamento de credenciais em cache local (/private/var/db/dslocal/);
No armazenamento de dados das chaves de início de sessão do usuário
As chaves de início de sessão são um armazenamento de dados criptografados na pasta pessoal do usuário que contém informações como senhas de apps e da Internet, assim como as identidades de certificado do usuário. Por padrão, a senha usada para decriptografar esse armazenamento de dados é a mesma senha da conta de usuário, sendo esse armazenamento desbloqueado automaticamente ao iniciar a sessão.
Se a senha da conta de rede for alterada enquanto um Mac não estiver conectado ativamente ao serviço de diretório, ela será alterada somente no armazenamento de credenciais em cache local. Quando o usuário reconectar-se ao serviço de diretório e iniciar a sessão, o serviço de diretório remoto será atualizado e o Mac não poderá desbloquear as chaves de início de sessão. O usuário deverá fornecer a senha anterior e a senha nova para atualizar o armazenamento de dados de chaves de início de sessão. Caso ele não possa fornecer a senha anterior, existe uma opção para criar novas chaves de início de sessão.
Em contas somente locais, uma política de senha pode ser aplicada com um perfil de configuração. Isso garante conformidade com a política empresarial, ao mesmo tempo em que simplifica a sincronização das chaves de início de sessão com a senha da conta de usuário.