Подписанные приложения
Q: У меня вот такой вопрос, когда ограничиваешь доступ к приложениям
через Workgroup Manager для группы пользователей, то приложения
которые ты разрешаешь или запрещаешь должны физически быть на сервере?
Сергей
A: Нет не должны.
Ниже более развернутый ответ.
Речь о “политиках” для Mac OS X – технологии MCX (Managed Client for X).
Кстати, это та же самая технология, что применяется и в Parental Controls на одной отдельно взятом Маке. Да и сам WGM можно использовать и на отдельно взятой машине (см. например, ролик на seminars.apple.com)
(На экране Workgroup Manager; стрелочкой помечены пункты, для которых заданы какие-то “политики”)
Мы можем указать (в Workgroup Manager, dscl), какие программы может запускать пользователь. Внимание! Подходите к этому вдумчиво; пользователь сможет запускать только явно разрешенные приложения, все неуказанные приложения использовать запрещено.
При этом, как и для ряда других краеугольных технологий Mac OS X (например, встроенный в систему брандмауэр) будет использоваться цифровая подпись (man codesign).
Когда вы добавляете какую-то программу в правила брандмауэра (System Preferences/Security/Firewall), эта программа подписывается автоматически.
Workgroup Manager же сообщит вам, если программа не подписана (все системное ПО подписано; подробно о code signing на developer.apple.com):
и даст вам возможность подписать программу
Теперь эту программу надо сделать доступным на всех компьютерах (например, с помощью Apple Remote Desktop, /Network/Applications, или подумав об этом на этапе создания образа).
Комментариев: 6
Кирилл, привет!
Управление приложениями – ну как бы наша классика. Но продолжаем помнить про управление папками, в которых находятся приложения которые мы хотим разрешить/запретить (вкладка Folders на втором скриншоте). В некоторых сложных случаях появляется определенный простор для творчества, а в некоторых – это единственный оптимальный вариант.
Подробнее – User Managment v10.6 стр. 178, User Managment v10.5 стр. 166.
Автор: Александр | 08/17/2010 в 17:32
Только надо следить за правами на папку :-)
Автор: Кирилл Воронин | 08/18/2010 в 14:39
Вспомнилось..
В 10.3 была шикарная возможность запустить Safari, даже если запуск был запрещен в Parental Controls. Дырку нашел мой четырехлетний сын, чем радостно пользовался, пока я его не застукал.
Запускался QuickTime, в появившемся окне рекламы (трейлеров) тык на ссылку и вуа-ля! Запрещенный Safari запускается.
Автор: Laky | 08/18/2010 в 15:13
С тем же успехом можно было кликнуть в веб-линк в почте. Это не то что бы дырка, это т.н. helper application. Разрешая какую-то программу мы по умолчанию разрешаем ее helper applications. Запуск программы может быть запрещен, но другие программы имеют право ее запускать, если она у них прописана в ha. Так что тут как раз все работает так, как предполагалось. Подробнее о запрете ha – на тех же самых страницах, что и в комментарии выше.
А сын – молодец!
Автор: Александр | 08/18/2010 в 19:10
Ну про QuickTime был приведен частный случай :)
С точки зрения того, что Parental Controls задуман для среднестатистического родителя – это дыра! Много ли пользователей читают User Managment?
За ссылку про ha – спасибо!
Автор: Laky | 08/19/2010 в 01:58
Я например беру и разрешаю приложение для группы, но пользовтель этой группы не может его открывать, я кобы оно не разрешено! В чем может быть проблема?
Автор: Сергей | 08/23/2010 в 15:29