Active Directory и мобильность на Mac
Службы каталогов могут хранить огромное количество конфиденциальных данных и должны быть надежно защищены. Обычно запросы к службе могут отправлять только надежные устройства в надежных сетях. Это означает, что для доступа к службе каталогов удаленным компьютерам, например ноутбукам, требуется активное подключение VPN.
Локальное кэширование учетных данных
Мобильные учетные записи пользователей кэшируют информацию о пользователе, включая пароль, так что пользователь может войти в систему на Mac после отключения от сети организации. Изменения, внесенные в службу каталогов, переносятся на Mac только после повторного подключения к сети организации.
Изменение пароля мобильной учетной записи
Чтобы изменить пароль мобильной учетной записи пользователя на компьютере Mac, который связан со службой каталогов, откройте «Системные настройки», а затем нажмите «Пользователи и группы», пока компьютер подключен к службе каталогов.
Чтобы проверить возможность подключения к службе каталогов, нажмите «Параметры входа» в боковом меню панели настроек «Пользователи и группы», затем посмотрите на поле «Сервер сетевых учетных записей». Зеленый индикатор означает, что служба каталогов доступна. Выберите мобильную учетную запись пользователя, затем нажмите кнопку «Сменить пароль».
Эта процедура гарантирует изменение пароля учетной записи пользователя в следующих трех местах:
Удаленная служба каталогов.
Локальный кэш учетных данных (/private/var/db/dslocal/).
Связка ключей входа пользователя.
Связка ключей входа — это зашифрованное хранилище данных в папке пользователя, которое содержит конфиденциальную информацию, например пароли приложений и интернета, а также учетные данные сертификатов пользователей. По умолчанию пароль этого хранилища данных совпадает с паролем учетной записи пользователя, и хранилище автоматически разблокируется при входе пользователя в систему.
Если изменить пароль сетевой учетной записи, когда Mac не подключен к службе каталогов, пароль изменяется только в локальном кэше учетных данных. Когда пользователь снова подключается к службе каталогов и входит в систему, удаленная служба каталогов получает обновленные данные, и Mac снова может разблокировать связку ключей входа. Для обновления хранилища связки ключей входа пользователю необходимо ввести предыдущий пароль и новый пароль. Если пользователь не может ввести предыдущий пароль, он может создать новую связку ключей входа.
К полностью локальным учетным записям можно применить политику паролей с помощью профиля конфигурации. Это обеспечивает соблюдение политики организации и упрощает синхронизацию пароля связки ключей входа с паролем учетной записи пользователя.