Active Directory och flyttbarhet
Katalogtjänster kan innehålla stora mängder känsliga data och bör hållas säkra. Nästan alltid begränsas sökningar i tjänsten till betrodda enheter i betrodda nätverk. Detta innebär att en aktiv VPN-anslutning krävs för att fjärrdatorer som t.ex. bärbara datorer ska kunna komma åt katalogtjänsten.
Lokalt cachad ID-information
Flyttbara användarkonton cashar användarnas information, inklusive deras lösenord, så att de kan logga in på datorn när den är nedkopplad från organisationens nätverk. Ängringar som görs i katalogtjänsten kommer inte att uppdateras på datorn förrän den återansluter till organisationens nätverk.
Ändra ett flyttbart kontolösenord
För att ändra ett flyttbart kontolösenord på en dator som är kopplad till katalogtjänsten öppnar du Systeminställningar och klickar på Användare och grupper medan datorn är ansluten till katalogtjänsten.
För att testa om det går att ansluta till katalogtjänsten klickar du på Inloggning i sidofältet till inställningspanelen Användare och grupper och kontrollerar sedan fältet Nätverkskontoserver. En grön indikator innebär att katalogtjänsten är tillgänglig. Markera det flyttbara användarkontot i sidofältet och klicka på knappen Ändra lösenord.
Denna process säkerställer att användarens kontolösenord ändras på tre platser:
Fjärrkatalogtjänsten
Den lokalt cachade lagringen av ID-information (/private/var/db/dslocal/)
Datalagringen av användarens inloggningsnyckelring
Inloggningsnyckelringen är en krypterad datalagring i användarens hemmapp som innehåller känslig information, som t.ex. lösenord till program och internet, samt användarcertifikatens ID. Som förval är lösenordet för att avkryptera datalagringen detsamma som användarens kontolösenord, och den låses upp automatiskt vid inloggning.
Om lösenordet till nätverkskontot ändras medan en dator inte är aktivt ansluten till katalogtjänsten ändras det bara i den lokalt cachade lagringen av ID-information. När användaren återansluter till katalogtjänsten och loggar in uppdateras fjärrkatalogtjänsten och datorn kan inte låsa upp inloggningsnyckelringen. Användaren måste ange det föregående lösenordet och det nya lösenordet för att uppdatera datalagringen av inloggningsnyckelringen. Om användaren inte kan ange det föregående lösenordet finns det möjlighet att skapa en ny inloggningsnyckelring.
Med konton som endast är lokala kan en lösenordspolicy användas genom en konfigurationsprofil. Detta säkerställer överensstämmelse med organisationens policyer samtidigt som synkroniseringen av inloggningsnyckelringen och användarens kontolösenord förenklas.