У меня есть Mac OS X 10.6 Snow Leopard Server Open Directory Master с пользователем, который получает настройки управления мобильностью и приложениями от группы (единственной группы, в которую они входят). Рабочая станция также работает под управлением Mac OS X 10.6 Snow Leopard, когда пользователь входит в систему и пытается запустить наше основное приложение, которое ему явно разрешено запускать (через настройки группы), он говорит: «У вас нет разрешения на использование. приложение «Мля» ».
Теперь приложение добавлено в список группы всегда разрешенных приложений без подписи (поэтому незначительная разница в версии приложения или содержимом файла не должна препятствовать этому). Он даже находится в подкаталоге / Applications, который находится в списке папок, в которых разрешены приложения.
Я столкнулся с этим при входе этого пользователя на новые рабочие станции, и обычно работает следующее:
/Library/Managed\ Preferences/, ~/.FileSync, ~/Library/Preferences/com.apple.finder.plist, и ~/Library/Preferences/com.apple.MCX.plist.~/.FileSync, ~/Library/Preferences/com.apple.finder.plist, и ~/Library/Preferences/com.apple.MCX.plist.Однако это больше не решает проблему.
Их предпочтения Home Sync установлены (в группе) на синхронизацию ~, но не следующие файлы (вручную, при входе в систему и при выходе из системы ... здесь нет фоновой синхронизации):
~/.SymAVQSFile~/NAVMac800QSFile~/Library~/.FileSync~/.accountИх предпочтения Sync предпочтения установлены (также в группе) для синхронизации ~/Library & ~/Documents/Microsoft User Data, но не следующие файлы (также вручную, при входе в систему и при выходе из системы ... без фоновой синхронизации):
~/.SymAVQSFile~/.Trash~/.Trashes~/Documents/Microsoft User Data/Entourage Temp~/Library/Application Support/SyncServices~/Library/Application Support/MobileSync~/Library/Caches~/Library/Calendars/Calendar Cache~/Library/Logs~/Library/Mail/AvailableFeeds~/Library/Mail/Envelope Index~/Library/Preferences/Macromedia/~/Library/Printers~/Library/PubSub/Database~/Library/PubSub/Downloads~/Library/PubSub/Feeds~/Library/Safari/Icons.db~/Library/Safari/HistoryIndex.sk~/Library/iTunes/iPhone Software UpdatesIMAP-*Exchange-*EWS-*Mac-*~/Library/Preferences/ByHost~/Library/Preferences/com.apple.dock.plist~/Library/Preferences/com.apple.sitebarlists.plist~/Library/Application Support/4D~/Library/Preferences/com.apple.MCX.plist~/.FileSync~/.accountДаже с ~/Library/Preferences/com.apple.MCX.plist не удалось синхронизировать во время синхронизации настроек, он по-прежнему часто появляется в домашней сети на сервере.
Есть ли другие файлы, кроме ~/Library/Preferences/com.apple.MCX.plist которые содержат управляемые настройки приложения, из-за которых это одно приложение может отображаться как недопустимое? Любые идеи о том, как ~/Library/Preferences/com.apple.MCX.plist продолжает синхронизироваться резервное копирование сетевой домашней папки на сервере?
Обновить: Я думал, что нашел обходной путь сегодня утром, но он также казался чрезвычайно временным. В основном, глядя на /Library/Managed\ Preferences/[shortname]/com.apple.applicationaccess.new.plist Я обнаружил, что в нем нет записи для рассматриваемого приложения, но /Library/Managed\ Preferences/[shortname]/complete.plist сделал. Естественно удалил com.apple.applicationaccess.new.plist, снова зашел в систему, и это сработало ... на одной рабочей станции. Он не удался на других, и после выхода и повторного входа еще пару раз он снова начал сбоить на всех, даже после дальнейших удалений com.apple.applicationaccess.new.plist. Как ни странно, com.apple.applicationaccess.new.plist & complete.plist делать оба содержат запись для рассматриваемого приложения, но по-прежнему говорит, что это запрещено.
Дальнейшее обновление: Хорошо, теперь у меня есть воспроизводимый обходной путь, который, кажется, требуется после каждой перезагрузки рабочей станции:
sudo mcxrefresh -n 'shortname' (выйдя из системы и вернувшись в нее, как пользователь, о котором идет речь, не работай).Если вы сделаете все в точности так, как описано, он продолжит работу через выход и повторный вход, но НЕ через перезагрузку. Если после перезагрузки вы попробуете что-то вроде входа в систему как локальную учетную запись администратора, запустив sudo mcxrefresh -n 'shortname', выйдя из системы, затем войдя в систему как пользователь, о котором идет речь, он не будет работать.
Еще одно обновление У нас нет любой группы компьютеров в нашем открытом каталоге, поэтому не должно быть никаких конфликтующих настроек оттуда. Я побежал sudo mcxquery -format xml -user shortname -group groupname до и после выполнения вышеупомянутого процесса, чтобы разрешить запуск рассматриваемого приложения, и результаты были идентичны (сохранить результат в файлы и diffд ... Я здесь не догадываюсь).
Шаг вперед, полшага назад: когда обновление сервера Mac OS X 10.6.5 был выпущен, мы обновили до него наш Open Directory Master, так как изменения включали следующие исправления управляемых настроек, которые, как я надеялся, могут решить эту проблему:
Казалось, это немного улучшило ситуацию. Рассматриваемое приложение сейчас обычно запускается без ошибок. Если и когда он запускается с ошибкой «У вас нет разрешения на использование приложения», выход пользователя из системы и обратно, кажется, исправляет ее.
Это сказал, с тех пор нам пришлось добавить пару приложений в пользовательский ~/Applications/ каталог, и они по-прежнему не запускаются. Рабочие станции работают под управлением Mac OS X 10.6.4, OD Master (к которому привязаны рабочие станции) работает под управлением Mac OS 10.6.5 Server (хотя есть две реплики OD, все еще работающих на сервере 10.6.4), и мы используем Workgroup Manager 10.6.3 (который включен в обновление Server Admin Tools 10.6.5) для добавления приложений (как всегда, без подписи). На этот раз я уловил следующее /var/log/system.log при попытке запустить одно из разрешенных приложений из ~/Applications:
Dec 22 17:36:24 hostname parentalcontrolsd[43221]: -[ActivityTracker checkApp:csFlags:] [954:username] -- *** Incoming app appears to be masquerading as white listed app and failed signature validation: /Users/username/Applications/FileMaker Pro 5.5/FileMaker Pro.app/Contents/MacOS/FileMaker Pro. Note: This may be a valid app of a different version than what was whitelisted (on a different volume?)
Dec 22 17:36:24 hostname [0x0-0xa42a42].com.filemaker.filemakerpro[43304]: launch of /Users/username/Applications/FileMaker Pro 5.5/FileMaker Pro.app/Contents/MacOS/FileMaker Pro was blocked
Dec 22 17:36:24 hostname com.apple.launchd.peruser.1340[6375] ([0x0-0xa42a42].com.filemaker.filemakerpro[43304]): Exited with exit code: 255
Dec 22 17:36:24 hostname parentalcontrolsd[43221]: -[ActivityTracker(Private) _removeAppFromWhiteList:] [1362:username] -- *** Couldn't find local user record
Бег sudo mcxquery -format xml -user username -group groupname включает следующую запись для FileMaker Pro 5.5 (и, похоже, включает полную интеграцию белого списка приложений пользователя и белого списка приложений группы):
<dict>
<key>bundleID</key>
<string>com.filemaker.filemakerpro</string>
<key>displayName</key>
<string>FileMaker Pro</string>
</dict>
Обратите внимание на отсутствие <key>appID</key><data> ... </data> который, кажется, указывает подписанное приложение. Хотя каталоги из белого списка также отображаются в результатах правильно, они также не позволяют запускать приложения.
Что здесь происходит?! Где еще мне искать?