it-консалтинг и аутсорсинг
что мы делаем контакты блог

MacSysAdmin 2017 – день первый

Ильдар Бигашев 04.10.2017

Подходит к концу второй день конференции MacSysAdmin 2017. Мы же спешим поделиться всем самым интересным, что услышали вчера.

macOS

Меняется не только macOS, но и устройства. Меняются и методы работы. Для обслуживания инфраструктуры Apple нет необходимости в серверах, в том числе Open Directory. Apple предлагает нам DEP, MDM, VPP.
Теперь для установки macOS требуется подключения к интернет. Загружаясь через Internet Recovery вы всегда будете скачивать последнюю версию установщика, даже если у вас предыдущая версия системы (хотя есть шорткаты, которые позволят загрузить предыдущую версию). Target disk mode не поддерживается для установки.
Imaging is dead, и хотя пока это работает, от этого придется отказаться в ближайшем будущем. Все обновления системы и таких вещей, как SSD, EFI, SMC, USB-C, Embedded OS ставятся через установщики из App Store и никак иначе.

APFS

Много вопросов по APFS и работе с этой файловой системой. Утилита asr работает с APFS, но есть немало нюансов, связанных с восстановлением контейнеров или томов. Теперь используется термин Valid System, предусматривающий определеную структуру файловой системы и контейнеров APFS. Есть проблемы с работой Bootcamp. AFP нельзя использовать с APFS. В целом файловая система все еще развивается и в последующих релизах macOS будут добавлены новые возможности.

Security

Apple старается сделать Mac таким же безопасным, как и iOS.
Новые меры безопасности: SKEL, он же UAKEL – user approved kernel extensions. Сейчас это выглядит не очень красиво для конечных пользователей, но надеемся, что в Apple это исправят. UAKEL отключается автоматически, если компьютер enrolled через DEP.
Мистический EFIcheck.kext, который раньше не присутствовал в релизах, а только в Beta – защита от компроментирования обновлений системы, теперь проверка EFI будет происходить еженедельно.
Изменилось поведение системы при сбросе пароля пользователя. Теперь, когда вы сбрасываете пароль пользователя из под другой учетной записи, при входе в систему пользователь не увидет предложения разблокировать старую связку ключей. Автоматически будет создана новая, а старая будет находиться в папке ~Library/Keychains. Видимо в Apple решили, что все-таки пароли администраторы сбрасывают неспроста, а предложение про Keychain просто путает пользователя.

MDM

Profile Manager больше не требует Open Directory, а сертификат для подписи профилей создается при включении службы. Появилась возможность добавлять устройства в DEP и ASM (Apple School Manager) вручную (увы, в России этого пока нет).

Server

Из Server.app убрали Time Machine и File Sharing, также убрали Caching Service. Теперь любой Мак с 10.13 может выступать Caching-сервером, эта функция находится в настройках Общего доступа.
Open Directory теперь не отображается в стандартной боковой панели Server.app.
Из Directory Utility убрали NIS.
Time machine не использует снимки APFS.

Документация

Apple обновляют документацию, в том числе и training.apple.com/en/osx.html (давненько она не обновлялась), где появился macOS Technical Training Guide.
Deployment References
https://help.apple.com/deployment/ios/
https://help/apple.com/deployment/macos/
Apps documentation
https://help.apple.com/configurator/mac/
https://help.apple.com/classroom/ipad/
https://help.apple.com/profilemanager/mac/
https://help.apple.com/serverapp/mac/
Services Documentation
https://help.apple.com/deployment/business/
https://help.apple.com/schoolmanager/

Ну и горячий вопрос – использовать ли аккаунт администратора в повседневной работе, ведь:

– для подтверждения kext права администратора не нужны
– SIP защищает системные файлы и приложения
– права администратора требуются для привязки к серверу Mobile Device Management
– администратор требуется для изменения настроек времени
Опять же, надо быть ближе к пользователям

В целом Macification of iOS и iOSification of macOS идут полным ходом и может показаться, что роль fullstack-администратора Apple становится все меньше значимой. Но сообщество мак-администрирования растет, канал macsysadmin в Slack уже насчитывает 13 тысяч пользователей, не говоря о множестве других ресурсов (надеюсь, мы сделаем отдельную заметку по этому поводу). Apple же продолжает преподносить нам что-то новенькое.