Active Directory en mobiliteit op de Mac
Adreslijstvoorzieningen bevatten vaak een grote hoeveelheid vertrouwelijke gegevens en moeten om die reden goed worden beveiligd. Meestal mogen alleen vertrouwde apparaten in vertrouwde netwerken informatie opvragen bij de voorziening. Dat betekent dat externe computers, bijvoorbeeld laptops, over een actieve VPN-verbinding moeten beschikken om toegang te krijgen tot de adreslijstvoorziening.
Toegangsgegevens in de lokale cache
Bij mobiele gebruikersaccounts worden de gebruikersgegevens, waaronder het wachtwoord, in de cache bewaard. Op die manier kan de gebruiker op de Mac inloggen zonder verbinding te maken met het netwerk van de organisatie. Wijzigingen in de adreslijstvoorziening worden pas op de Mac doorgevoerd wanneer opnieuw verbinding wordt gemaakt met het netwerk van de organisatie.
Het wachtwoord van een mobiele account wijzigen
Om het wachtwoord van een mobiele gebruikersaccount te wijzigen op een Mac die aan de adreslijstvoorziening is gekoppeld, kies je Apple-menu > 'Systeeminstellingen' en klik je in de navigatiekolom op 'Gebruikers en groepen' wanneer de computer met de adreslijstvoorziening is verbonden.
Om de verbinding met de adreslijstvoorziening te verifiëren, bekijk je 'Netwerkaccountserver' aan de rechterkant. Een groene indicator geeft aan dat de adreslijstvoorziening beschikbaar is. Klik op de infoknop naast de mobiele gebruikersaccount en klik op 'Wijzig'.
Op deze manier wijzig je het wachtwoord van de gebruikersaccount op drie plaatsen:
In de externe adreslijstvoorziening
In de lokale cache voor toegangsgegevens (/private/var/db/dslocal/)
In de data store van de inlogsleutelhanger van de gebruiker
De inlogsleutelhanger is een versleutelde data store in de thuismap van de gebruiker die vertrouwelijke gegevens bevat, zoals de wachtwoorden voor apps en het internet en de identiteiten van gebruikerscertificaten. Standaard is het wachtwoord waarmee deze data store wordt ontsleuteld gelijk aan het wachtwoord van de gebruikersaccount. Bij het inloggen wordt de data store automatisch ontgrendeld.
Als het wachtwoord van de netwerkaccount wordt gewijzigd terwijl een Mac niet actief met de adreslijstvoorziening is verbonden, wordt deze wijziging alleen doorgevoerd in de lokale cache voor toegangsgegevens. Wanneer de gebruiker opnieuw verbinding maakt met de adreslijstvoorziening en inlogt, wordt de externe adreslijstvoorziening bijgewerkt en kan de inlogsleutelhanger op de Mac niet worden ontgrendeld. De gebruiker moet het vorige wachtwoord en het nieuwe wachtwoord invoeren om de data store voor de inlogsleutelhanger bij te werken. Als de gebruiker het vorige wachtwoord niet meer weet, kan een nieuwe inlogsleutelhanger worden aangemaakt.
Bij accounts die alleen lokaal worden gebruikt kan via een configuratieprofiel een wachtwoordbeleid worden toegepast. Op die manier kan worden voldaan aan het beleid van de organisatie en wordt tegelijkertijd de synchronisatie van de inlogsleutelhanger en het wachtwoord van de gebruikersaccount vereenvoudigd.