Služba Active Directory a mobilita na Macu
Adresářové služby mohou pojmout ohromné množství citlivých dat a proto vyžadují zabezpečení. Téměř vždy je dotazování služby omezeno na důvěryhodná zařízení či důvěryhodné sítě. To znamená, že vzdálené počítače, například notebooky, vyžadují pro přístup k adresářové službě aktivní připojení VPN.
Pověření uložená v místní mezipaměti
Mobilní uživatelské účty ukládají do mezipaměti údaje uživatele, včetně jeho hesla, aby se mohl k Macu přihlásit, i když je odpojen od sítě organizace. Změny provedené v adresářové službě nebudou v Macu aktualizovány, dokud se znovu nepřipojí k síti organizace.
Změna hesla mobilního účtu
Pokud chcete na Macu změnit heslo mobilního uživatelského účtu, který je svázaný s adresářovou službou, vyberte nabídku Apple > Nastavení systému a když je počítač připojen k adresářové službě, klikněte na bočním panelu na Uživatelé a skupiny .
Chcete-li ověřit připojení k adresářové službě, podívejte se do části „Server síťového účtu“ na pravé straně. Zelený indikátor informuje, že je adresářová služba dostupná. U mobilního uživatelského účtu klikněte na tlačítko Informace a potom klikněte na Změnit.
Tento proces zajišťuje změnu hesla uživatelského účtu na třech místech:
Vzdálená adresářová služba
Místní mezipaměť s uloženými pověřeními (/private/var/db/dslocal/)
Datové úložiště přihlašovacího svazku klíčů uživatele
Přihlašovací svazek klíčů je zašifrované datové úložiště v domovské složce uživatele, které obsahuje citlivé údaje, například hesla aplikací a internetových stránek a také identity uživatelských certifikátů. Standardně je heslo k dešifrování tohoto datového úložiště stejné jako heslo uživatelského účtu a úložiště je tak automaticky odemknuto při přihlášení.
Pokud dojde ke změně hesla síťového účtu v okamžiku, kdy Mac není aktivně připojen k adresářové službě, bude heslo změněno pouze v místním úložišti pověření. Jakmile se uživatel znovu připojí ke vzdálené adresářové službě a přihlásí se, služba bude aktualizována a Mac nebude moci odemknout přihlašovací svazek klíčů. Uživatel musí zadat předchozí heslo i nové heslo, aby došlo k aktualizaci datového úložiště přihlašovacího svazku klíčů. Pokud uživatel nemůže předchozí heslo zadat, má možnost vytvořit nový přihlašovací svazek klíčů.
V případě výhradně místních účtů lze aplikovat pravidla pro hesla pomocí konfiguračního profilu. Lze tak zajistit soulad s pravidly organizace při zjednodušení synchronizace přihlašovacího svazku klíčů a hesla uživatelského účtu.