Мобильность и Mac
Изначально службы каталогов были задуманы для поддержки нескольких пользователей, входящих в систему на одном компьютере, который подключен к службе каталогов через постоянное надежное сетевое соединение. Использование портативного компьютера одним пользователем, который часто переключается между различными сетями, требует другого подхода.
Некоторые мобильные устройства не имеют постоянного доступа к службе каталогов организации. Следовательно, любые обновления, внесенные в службу каталогов, могут не сразу отражаться на мобильных устройствах. С помощью решения MDM администраторы могут обновлять политики и конфигурации удаленно, даже если компьютеры Mac не имеют постоянного подключения к службе каталогов.
Для macOS можно применить тот же подход к развертыванию конфигураций и политик, который используется для iOS. Используя службу push-уведомлений Apple (APNS), решение MDM может уведомлять компьютеры Mac о том, что доступно обновление политики или конфигурации. Получив push-уведомление, компьютер Mac в фоновом режиме устанавливает безопасное подключение к MDM с помощью протокола SSL (Secure Socket Layer) или TLS (Transport Layer Security) для получения обновленной политики или конфигурации (при этом клиент должен быть подключен к Интернету). В этом случае устройство не обязательно должно находиться в сети VPN или сети, которая явным образом названа надежной.
Использование решения MDM или решения для управления клиентами предоставляет множество преимуществ, которые изначально были свойственны для связывания службы каталогов и использования сетевых учетных записей. Поддерживается беспроводное развертывание и обновление паролей и политик клиентов, включая сертификаты. Устройства могут быть по-прежнему связаны со службой каталогов на уровне системы, чтобы пользователи и группы могли авторизоваться в различных службах, например на сетевых файловых серверах. Это избавляет от сложной задачи поддержания сетевых учетных записей на локальном Mac.
Использование команды kinit позволяет реализовать единый вход. Добавьте эту команду в AppleScript, чтобы создать простейшую графическую программу для получения первоначального билета Kerberos.