Вопрос состоит в следующем: есть тестовый домен с развернутым центром сертификации и RADIUS-сервером...
Стоит задача: необходимо подключить имеющийся MacBook через WiFi-точку (AP Cisco AIR-AP1142N-EK9, автономная без подключения к контролеру), используя политики RADIUS-сервера, к вышеозначенному домену... и в дальнейшем обеспечить автоматический Enroll-сертификатов для MacBook и применения к нему GPO AD....
Возможно ли? И если нет - то почему?
Просьба ткнуть в конкретные мануалы или пнуть в правильном направлении... Неделю уже топчусь - ладу дать не могу! :((
Кста, по поводу ссылки - спасибо! Но если обратишь внимание - приложение уже "протухло" :(... И не хотелось бы через год-два снова заниматься поисками решения... :(
elbrus56, все правильно пишет, ибо AD - это трешак в нынешнем виде. Ну как бы, оно и понятно, компании замыкаются на своей инфрастуктуре. Чтобы была мультиплафлатформа, надо изначально и разворачивать всё под неё. Либо не выдумывать велосипеды, и делать под одну платформу.
Конечно, это тяжелые варианты, когда компании начинали лет 20-25 назад, и выбрали, к примеру, продукты майкрософт.
Можно, зависит от сценария. Вводить в домен для установки машинного сертификата уже не обязательно, этот функционал и не только можно реализовать средствами MDM, SCEP. SSO-решений тоже хватает на рынке. Политиками GPO управлять Маками нельзя, нужно MDM/EMM решение.
Меня не интересуют теоретические выкладки! Я уже прочитал инфы более чем и даже больше... :( и перебрал, наверное, с десяток различных решений... Они НЕ устраивают либо как 100% облачные решения (VMware AirWatch, Jampf,...) либо требуют сторонних сервисов типа DEP/APN или использования Corporate Apple ID.
Поставлена задача запилить максимально "автономное" решение и, по возможности, - с покупкой "разовой" лицензии (не подписка!) Вот потому и спрашивал - может у кого-то был опыт ПРАКТИЧЕСКОЙ реализации подобного решения?
Aleksandr, я правильно понимаю, что вам надо Security Compliance закрыть? Поэтому установка на свои сервера? Напишите, о каком количестве устройств речь.
Jamf можно ставить на свои сервера.
DEP не требуется.
APN требуется для MDM, а это отдельная семнадцатая подсеть, которая выделена только для Apple.
Corporate Apple ID не требуется.
Увы, сейчас многие работают как SaaS по подписке (Opex), но по моему у Airwatch была PL лицензия, однако там надо было докупать поддержку, чтобы новые фичи macOS/iOS поддерживались. Jamf, когда был Casper Suite, тоже так продавался, но они сменили модель.
Попробуйте сначала протестировать на Profile Manager и уже потом такую систему выбирать. Но в Production его использовать нельзя и там функционал ограничен только MDM, в то время как в таких штуках, как Airwatch и Jamf устанавливается дополнительно агент на устройство.
Aleksandr, можно конечно и MicroMDM с обмазкой из Chef использовать. Тут вопрос только в том, что дешевле: купить готовое решение или своим сотрудникам зарплаты повышать + людей нанимать для поддержания решения. Что дешевле? Каждый для себя такие вопросы по своему решает.
Вопрос к откликнувшимся гуру: нащупал ещё одно решение через MacOS Server... Удалось даже прилинковать его к Microsoft AD... Но как я понял дальше - опять нужно развертывание/подключение DEP (Apple ID и т.п.) ... :(
Потвердите или опровергните мои предположения? ...
elbrus56, MicroMDM увы вообще не подходит! :( по причине...
НЕ ЯВЛЯЕТСЯ полноценным MDM-решением (...MicroMDM is not a full featured
device management product... MicroMDM has no Web UI...), при развертывании корпоративного решения - необходима регистрация у Apple и ежегодная оплата лицензии (...
If you've decided to run an instance of MicroMDM in your organization, there are a few Apple specific requirements you need to meet. First, you need to enroll your organiza-
tion in the Apple Developer Enterprise Portal. Enrolling costs $299/year and requires that your organization have a DUNS number... )
Aleksandr, Это был утрированный вариант. Полноценным и под вас делаете его вы самостоятельно. Другой вопрос, есть ли на это ресурсы. А MDM - это просто веб-сервер.
elbrus56, я не ориентируюсь что такое Magic Triangle... :( В Appstore есть пакет MacOS Server стоимостью 20$ который позволяет "состыковать" OpenDirectory (Mac) и Microsoft AD (Windows)... После чего на Mac OS можно использовать учётные данные из AD...
Aleksandr, в Server.app за $20 есть Profile Manager, который по сути только MDM, который в в Production использовать нельзя и функционала которого будет не достаточно. Та связка с AD, которую вы подразумеваете, и называется Magic Triangle и все порядочные Мак-админы уже прошли его как пубертатный период в своей жизни, но не с самыми хорошими воспоминаниями.
Aleksandr, проверенное и on-premise - есть. Но как я писал выше - у всех SaaS, потому что рынок. И цены только растут. И тенденция у компаний на opex-расходы, потому что деньги сейчас по другому считают.
elbrus56, уже проверил все указанные решения... :( Первые два - облачные, кроме того второе с подпиской, третьему нужно Corporate Apple. ID, т.е. использует внешние сервисы... :( Стоит отдать должное - последнее можно установить локально и если бы не его "стукачество" наружу - это бы было решением... :(
Столкнулся ещё с тем что при получении сертификата - получаю сообщение что нет мапинга/сопоставления между учётными данными MacOS и AD :(
Раньше эт всё как бы решалось за счёт установки Microsoft Services for UNIX, однако начиная с WinServer 2016 этот функционал "порезали" по причинам depricated..,
В MDM (сейчас в частности плотненьку кручу MobileIron) весь функционал сводится к тому чтобы удалить либо все сертификаты одним махом, либо через создание собственного профиля - запушить какой-то конкретный(е) сертификат(ы)! :( Для меня этот вариант не комильфо (на кажду железку индивидуально подсовывать нужный сертификат...)
FYI, вдруг кому будет интересно... в Mobileiron, работа с NDES ( SCEP-протоколом ) реализовано ТОЛЬКО для iOS (в контексте "яблочных" устройств)
...Note: This payload is not applicable for Mac and Apple TV ... :(
Увы, но скоро большую часть вещей на Mac без MDM сделать не получится. Даже из терминала команды типа profile будут убирать и какие-то вещи придется или вручную делать, или через MDM.
Sasha Odarchuk, не подходит! Уже смотрел... Нужен Corporate Apple ID! Задача изначально: по возможности, отсутствие любых внешних сервисов и коннектов! (поиском я пользоваться умею, если что...)
Простой
Простой
