Приложение LANDesk Management Suite включает все функции управления системой для компьютеров и устройств Apple Macintosh. Это позволяет ИТ-специалистам автоматизировать задачи управления системой в масштабе предприятия. С консоли можно собирать и анализировать подробные данные инвентаризации оборудования и программного обеспечения, получаемые от каждого устройства. Используйте эти данные для выбора целей для распространения программного обеспечения и определения политик для управления автоматической конфигурацией. Используйте функции управления лицензиями на программное обеспечение, которые позволяют экономить средства и контролировать соответствие лицензионным соглашениям. Используйте удаленное управление устройствами, позволяющее решать различные проблемы и выполнять стандартное обслуживание. Защитите свои устройства от распространенных рисков нарушения безопасности и внешних воздействий. Контролируйте данные инвентаризации и составляйте информативные отчеты.
В этой главе вы изучите следующее:
В этой главе описано использование приложения LANDesk Management Suite для управления компьютерами Macintosh. Оно обеспечивает централизованное управление данными, связанными с задачами, инструментальными средствами, функциями и возможностями Macintosh. Для получения дополнительной информации об использовании средств и функций для управления вашей сетью см. соответствующие разделы.
Приложение LANDesk Management Suite для Macintosh работает со следующими операционными системами:
Операционная система Mac OS X версий 10.4 (Tiger) и 10.5 (Leopard) поддерживает все функции Macintosh, имеющиеся в LANDesk Management Suite.
Информацию о загрузке агентов для Macintosh предыдущих версий можно найти на веб-сайте http://community.landesk.com/support.
Агент LANDesk Management Suite для Macintosh версии 9.0 не поддерживает версии Jaguar и Panther. Однако можно осуществлять управление устройствами, на которых работают эти операционные системы, если на них установлен агент LANDesk Management Suite версии 8.8.
ПРИМЕЧАНИЕ: Из-за различий политик в версиях 8.8 и 9.0 функции управления на основе политик не будут работать с клиентами Jaguar и Panther, использующими агент версии 8.8.
Можно использовать функции инвентаризации и дистанционного управления для устройств с операционной системой Mac OS 9. Эта операционная система постепенно выводится из эксплуатации, поэтому доступна только ограниченная поддержка.
LANDesk использует конфигурации агента для получения контроля над устройствами и управления ими. Приложение Management Suite версии 9.0 поддерживает функции принудительной отправки конфигураций агента Mac на неуправляемые устройства Macintosh с помощью того же процесса, который используется для отправки агентов в устройства Windows.
Пакет конфигурации по умолчанию Default Mac Configuration содержит агент, необходимый для управления устройствами Macintosh. Для получения контроля над устройствами Macintosh необходимо сделать следующее:
После установки агентов по умолчанию ваши устройства становятся управляемыми. После этого можно создать настраиваемые конфигурации, которые позволяют использовать дополнительные функции управления устройствами Macintosh. Как только устройства становятся управляемыми, применение к ним пользовательских агентов уже не составляет труда.
ПРИМЕЧАНИЕ: Все устройства должны поддерживать TCP/IP.
Можно получить пакет по умолчанию Default_Mac_Configuration.mpkg.zip из общей папки LDLogon/Mac на главном сервере. Папка LDLogon/Mac создается автоматически при установке приложения Management Suite. Поскольку папка LDLogon является общим веб-ресурсом, одна доступна по адресу в Интернете http://<Имя_главного_сервера>/LDLogon/Mac.
Чтобы поместить агенты на устройства Macintosh, на которых включена безопасная оболочка Secure Shell (SSH), необходимо указать учетные данные для входа SSH для неуправляемых устройств Mac. Для этого из консоли Windows выберите Конфигурация > Службы > Планировщик > Смена имени (Configure > Services > Scheduler > Change Login). Затем можно будет использовать те же средства принудительного развертывания агента, которые используются для устройств Windows.
Чтобы поместить агенты на устройства Macintosh, на которых не включена безопасная оболочка Secure Shell (SSH), необходимо использовать альтернативные методы развертывания, например:
После развертывания агентов на целевых устройствах необходимо установить их на компьютеры. После каждой установки выполняется полное сканирование оборудования и программного обеспечения, что позволяет синхронизировать устройства с главным сервером. Управление устройствами Macintosh возможно только после установки на них агентов Management Suite и отправки данных инвентаризации этих устройств на главный сервер. Когда базовые агенты установлены, последующие развертывания и обновления агентов легко выполняются через существующие агенты.
Используйте средство конфигурации агента для создания и обновления (замены) настраиваемых конфигураций для устройств Macintosh. Вы можете создать различные конфигурации, соответствующие тем или иным потребностям, например для изменения настроек сканера инвентаризации, определения разрешений дистанционного управления или указания сетевых протоколов, используемых агентами.
Чтобы принудительно отправить конфигурацию на устройства, необходимо создать или обновить конфигурацию агента и запланировать запуск задачи.
Настройте конкретные параметры конфигурации для ваших устройств. Не используйте круглые скобки в именах конфигураций агента Macintosh. Использование круглых скобок в именах вызовет ошибку задачи развертывания.
Можно принудительно отправлять конфигурации агента на устройства, на которых установлен стандартный агент LANDesk. Для запуска новой или обновленной конфигурации агента используйте инструментальное средство Запланированные задачи (Scheduled tasks).
После создания или обновления конфигураций агента для устройств Macintosh можно запустить их вручную. При создании конфигурации агента (Сервис > Конфигурация > Конфигурация агента (Tools > Configuration > Agent configuration)) в папке LDLogon/Mac на главном сервере создается следующий файл:
Папка LDLogon/Mac является общим веб-ресурсом, доступ к которому осуществляется из любого браузера. Следуйте инструкциям, приведенным в разделе Загрузка конфигурации агента по умолчанию для устройств Macintosh. Вставьте свои файлы конфигурации агента вместо заданных по умолчанию файлов.
Для удаления агентов Macintosh запустите программу uninstallmacagent.sh из папки \\<главный сервер>\ldmain.
В этом разделе описано диалоговое окно конфигурации агента для устройств Macintosh. Это диалоговое окно содержит следующие функции и параметры:
Используйте эту страницу для настройки параметров агента распространения на основе политик.
Эта страница используется для настройки сканера инвентаризации.
Эта страница используется для настройки агента удаленного управления.
Эта страница используется для настройки безопасности агента и области управления. Для получения дополнительной информации о безопасности агента см. раздел Защита агентов и доверенные сертификаты. Для получения дополнительной информации об области действия см. раздел Ролевое администрирование.
Эта страница используется для настройки расписания сканирования исправлений и соответствия.
Имеется два варианта настройки подключения управляемых устройств Macintosh к главному серверу через LANDesk Management Gateway:
Для добавления устройств Macintosh в базу данных главного сервера и сбора информации об их программном обеспечении и оборудовании используется утилита сканирования инвентаризации. При настройке устройства одним из компонентов агента LANDesk, устанавливаемого в устройстве, является сканер инвентаризации. Сканер инвентаризации запускается автоматически при исходной конфигурации устройства. Устройство считается управляемым, если осуществляется сканирование его инвентаризации в базе данных главного сервера.
Исполняемый модуль сканера для Mac OS X называется ldiscan (UNIX; чувствителен к регистру). Файлы сканирования инвентаризации сохраняются локально на клиенте и совместимы с главным сервером. Вы можете отправить файл администратору главного сервера по электронной почте, а затем перетащить его в каталог ldiscan. Необходимо изменить расширение файла на .scn.
Можно настроить устройства Macintosh на запуск сканирования при начальной загрузке, при входе в систему, при выходе из спящего режима, а также при изменении сети. Можно также использовать конфигурацию агента для планирования регулярного запуска сканирования инвентаризации.
Сканер инвентаризации Macintosh шифрует данные сканирования. Сканер инвентаризации также выполняет операции дельта-сканирования. Это означает, что после выполнения полного сканирования инвентаризации при последующих операциях сканирования на главный сервер передаются только измененные данные, что позволяет сократить нагрузку на пропускную способность сети.
Сканер инвентаризации Macintosh просматривает папку "Пользовательские данные" (Custom Data) в папке установки агента, чтобы найти XML-файлы, содержащие дополнительную информацию, которую необходимо передать на главный сервер. Эта дополнительная информация отображается в дереве инвентаризации в узле "Пользовательские данные".
Используя сканер инвентаризации, можно просмотреть сводку или полные данные инвентаризации. Вы можете напечатать и экспортировать данные инвентаризации. Вы также можете использовать их для определения запросов, группирования устройств и создания специальных отчетов. Для получения дополнительной информации об инструментальном средстве инвентаризации см. раздел Управление инвентаризацией.
Сканирование программного обеспечения осуществляет инвентаризацию программного обеспечения на управляемых устройствах. Оно занимает больше времени, чем сканирование оборудования. Сканирование программного обеспечения может занять несколько минут в зависимости от количества файлов на управляемом устройстве. Интервал сканирования программного обеспечения можно настроить на вкладке Конфигурация> Службы > Инвентаризация (Configure > Services > Inventory).
Все приложения, установленные в папке "Приложения" (Applications), помещаются в узел Программное обеспечение > Пакеты приложений (Software > Application Suites) в дереве инвентаризации.
Можно добавить параметры командной строки в свойства ярлыка сканера инвентаризации (ldiscan), чтобы определить, как он будет работать. Этот параметр зависит от регистра.
ПРИМЕЧАНИЕ: Если не используется параметр --ignore, то параметры командной строки не заменят значения настроек сканирования в конфигурации агента. Например, параметр -F для полного сканирования программного обеспечения не будет выполнять это сканирование, если оно отключено в настройках.
| Параметр | Имя | Описание |
|---|---|---|
| -c | --core <путь> | Определяет, на какой сервер будут направляться данные сканирования. Пример: -c spencercore2.landesk.com |
| -D | --Delta | Запускает принудительное дельта-сканирование. |
| -e | --everything | Запускает полное сканирование оборудования и программного обеспечения. |
|
-F |
--force |
Принудительно запускает сканирование программного обеспечения, даже если в конфигурации агента не выбран ни один параметр сканирования программного обеспечения. Пример: [MACHINES_MACX] REMEXEC0=/Library/Application\ Support/LANDesk/bin/ldiscan –F |
| -h | --help | Отображает список параметров командной строки |
|
-i |
--ignore |
Игнорирует настройки параметров пользователя и сервера |
| -l | --LdAppl <путь> | Определяет альтернативный путь к LdAppl.ini |
| -L | --Limit | Ограничивает загрузку LdAppl3.ini |
| -o | --output <путь> | Определяет каталог, в который необходимо записать файл данных сканирования Пример: -o /Users/spencer |
| -P | Отображает настройки сканирования без сканирования | |
| -R | --reset | Сброс базы данных сканирования |
| -s | --sync | Выполняет сканирование для синхронизации (включает в себя параметр -R) |
| -T | --send <файл> | Отправляет <файл> на главный сервер |
| -t | --mini | Выполняет мини-сканирование |
| -v | --version <n> | Формирует форматированный отчет о версии (1,2 или 3) |
| -V | --Verbosity <n> | Определяет уровень детальности сообщений (отладка) |
В файле LdAppl3.Template хранятся параметры сканера инвентаризации. Этот файл шаблона работает совместно с файлом LdAppl3 для идентификации инвентаризации ПО устройства.
Вы можете исправлять раздел "Инвентаризация LANDesk" файла шаблона с целью конфигурации параметров, определяющих процесс идентификации сканером инвентаризации ПО. По умолчанию файл LdAppl3.Template хранится в следующем каталоге на главном сервере:
Приведенная ниже таблица поможет вам изменить раздел [LANDesk Inventory] в текстовом редакторе.
| Параметр | Описание |
|---|---|
|
MacMode |
Определяет, каким образом сканер сканирует ПО Macintosh на устройствах. По умолчанию установлено значение "Все" (All). Ниже приведены все настройки.
|
Чтобы разрешить загрузку MacModes, необходимо выбрать параметр Сделать доступным для клиентов (Make available to the clients). По умолчанию значения MacScanExtensions включены. При этом могут создаваться очень большие файлы сканирования (более 11 МБ), поэтому вам, возможно, придется изменить эти значения по умолчанию.
ПРИМЕЧАНИЕ: По умолчанию при сканировании MacScanExtensions каталоги /Library и /System не сканируются. Это сокращает размер файла данных сканирования. Каталоги можно поместить в раздел, содержащий папку Mac.
Для получения информации о сканировании пользовательских данных см. раздел Сканирование пользовательских данных на устройствах Macintosh
Удаленное управление устройствами Macintosh с консоли осуществляется аналогично управлению устройствами Windows. Прежде чем выполнять какие-либо задачи удаленного управления, необходимо подключиться к целевому устройству. В каждый момент времени с устройством может взаимодействовать только одна программа просмотра, однако можно открыть несколько окон программы просмотра и одновременно управлять несколькими устройствами. При подключении к устройству можно просмотреть сообщения о подключении и информацию о состоянии в панели Сообщения о подключении (Connection messages) (Вид > Сообщения о подключении (View > Connection messages)). Встроенная система безопасности Management Suite проверяет наличие необходимых прав у пользователя, инициализирующего сеанс дистанционного управления, а также, входит ли данный компьютер в область действия этого пользователя. При передаче по сети данные шифруются.
ПРИМЕЧАНИЕ: По умолчанию встроенная система безопасности включена.
На клавиатурах Macintosh имеются некоторые клавиши, которые отсутствуют на клавиатурах PC. Во время сеанса дистанционного управления устройством Macintosh следующие клавиши на клавиатуре PC эмулируют клавиши на клавиатуре Macintosh:
Чтобы клавиши ALT и WINDOWS могли использоваться в качестве клавиш Macintosh, в окне программы просмотра дистанционного управления необходимо включить функцию передачи системных клавиш.
ПРИМЕЧАНИЕ: Функции совместного использования буфера обмена и рисования не поддерживаются на устройствах Macintosh.
Для получения дополнительной информации см. раздел Удаленное управление.
Можно подключиться к устройству Macintosh и осуществлять удаленное управление этим устройством.
Вы можете осуществлять удаленное управление компьютером Mac из командной строки компьютера, на котором установлен контейнер удаленного управления. Используйте следующую команду:
irccntr.exe /a[имя клиента] /s[имя главного сервера]
Тайм-аут неактивности определяет период времени (по умолчанию 10 минут), по истечении которого сеанс завершается, если на клиенте не произошло движение мыши или нажатие клавиши. Подобно заставке экрана, эта функция препятствует использованию удаленного компьютера, если на нем никто не работает.
Функция распространения программного обеспечения позволяет развертывать программное обеспечение и пакеты файлов на компьютерах Macintosh с операционной системой OS X в вашей сети.
Можно распространять на устройства Mac OS X пакеты, состоящие из одной исполняемой программы. Каждый распространяемый пакет состоит только из одного файла, и агент попытается установить этот файл, как только устройство его получит. Можно загрузить любой файл. Пакеты установки (.PKG) могут также включать каталоги, но они должны быть сжатыми. Если загруженный файл имеет суффикс .dmg, .pkg, .mpkg, .sit, .sitx, .zip, .tar, .gz, .sea, .app, .sh, .hqx, а также в случае загрузки пакетов действий Automator программа LANDesk будет выполнять распаковку файла перед возвратом (пакеты Automator работают только в версии 10.4.2 или более поздних).
ПРИМЕЧАНИЕ: Необходимо убедиться в том, что функция проверки новых версий Stuffit Expander отключена. В противном случае диалоговое окно может прервать операцию распространения программного обеспечения.
Операция распространения программного обеспечения также позволяет распространять сценарии оболочки в виде заданий. Это дает ИТ-специалистам возможность всесторонне управлять средой Mac и выполнять практически все задачи конфигурирования или сбора информации на устройствах Mac OS X.
Вы можете запланировать операции распространения Mac OS X в окне "Запланированные задачи" (Scheduled tasks) и перетащить устройства Mac OS X в окно "Запланированные задачи" в качестве целей для распространения (см. раздел Запланированные задачи для устройств Macintosh ).
ПРИМЕЧАНИЕ: Перед тем как распространять файлы на целевые устройства, необходимо установить на них агент LANDesk для Mac OS X.
Пакет распространения включает файлы пакета для отправки, а также информацию о распространении, в которой описаны компоненты пакета и их поведение. Перед доставкой и выполнением необходимо создать пакет. В приведенных ниже инструкциях описан порядок распространения программного обеспечения. Чтобы операция была выполнена правильно, пакет распространения программного обеспечения должен существовать либо в сети, либо на web-сервере, а на получающих устройствах должен быть установлен агент распространения программного обеспечения.
Распространение пакета на устройства осуществляется путем выполнения трех основных действий:
Просмотр хода выполнения задачи в окне "Запланированные задачи".
Можно использовать запросы для создания списка устройств, на которые необходимо развернуть пакет. Для получения дополнительной информации о создании запросов см. раздел Запросы баз данных.
В противоположность команде оболочки команды распространения программного обеспечения Macintosh являются командами загрузки (см. раздел Управляемые сценарии для устройств Macintosh). Команды загрузки начинаются с "http://" или "ftp://". Если команда не является командой загрузки, то она по определению является командой оболочки. Ниже приведен пример команды загрузки:
REMEXEC0=http://...
Команда загрузки не выполняет автоматический запуск каких-либо файлов. После загрузки файла на устройства можно выполнить команду оболочки, чтобы запустить файл. Файлы загружаются в каталог /Library/Application Support/LANDesk/sdcache/, который необходимо указывать в командах оболочки.
ПРИМЕЧАНИЕ: Если ваши файлы находятся на сервере Windows 2003, то необходимо создать типы MIME для расширений файлов Macintosh, например .sit. В противном случае сервер 2003 не позволит вам получить доступ к файлам. Тип MIME не обязательно должен быть действительным, он просто должен быть в наличии.
Вы также можете создать политики устройства Macintosh. Создание политики устройства Macintosh выполняется аналогично созданию политики для устройства на базе Windows. Устройства Macintosh также имеют обязательные, рекомендуемые и дополнительные типы политик. Пакет приложений Macintosh должен включать один файл. Для дополнительных или рекомендуемых политик, которые должны быть запущены клиентом, откройте панель настроек LANDesk и щелкните Проверить (Check now), чтобы выполнить распространение на основе политики. При определении целей политики устройства Macintosh не поддерживают управление на основе политики по имени пользователя, только по имени устройства.
Управление на основе политики выполняет следующие действия с пакетами политик приложения Macintosh:
Кроме того, управление на основе политики поддерживает файлы .dmg с лицензионными соглашениями.
ПРИМЕЧАНИЕ: Для некоторых типов пакетов распространение программного обеспечения работает не слишком хорошо. (Программы установки Installer Vise и Installer Maker некорректно воспринимают управление на основе политики. Они почти всегда требуют вмешательства пользователя и могут быть остановлены.)
При распространении пакета программ можно отобразить или скрыть пользовательский интерфейс на клиенте. Если администратор LANDesk отправляет пакет, который требует от пользователя выбора лицензионного соглашения, то этот пакет необходимо устанавливать с использованием метода доставки типа "под управлением пользователя", поскольку установка пакета не будет выполнена, если лицензионное соглашение не будет принято конечным пользователем. Можно отображать пользовательский интерфейс для метода доставки на основе политики или принудительной отправки.
Management Suite Для выполнения пользовательских задач на устройствах в приложении используются сценарии. Можно выбрать сценарии в окне Управление сценариями (Manage scripts) (Сервис > Распространение > Управление сценариями (Tools > Distribution > Manage scripts)). В сценариях Macintosh для выполнения файлов используются команды оболочки. Команды оболочки запускаются от имени пользователя root. Сценарии хранятся в виде текстовых файлов, и после создания их можно при необходимости изменять вручную. Ниже приведен пример команды:
REMEXEC0=/Library/Application\ Support/LANDesk/bin/ldscan
Пользователь может использовать команду оболочки "open" для запуска файлов и приложений, а команду "installer" — для установки файлов .pkg. Файл загрузки также может быть сценарием оболочки, написанным на языках Perl, Ruby, Python и других.
При загрузке файлы сохраняются в каталог /Library/Application Support/LANDesk/sdcache/, который необходимо указывать при запуске некоторых команд оболочки.
Вы можете запланировать управляемые сценарии Mac OS X в окне "Запланированные задачи" и перетащить устройства Mac OS X в окно "Запланированные задачи" в качестве целей для сценариев (см. раздел Запланированные задачи для устройств Macintosh ).
Инструментальное средство работы с запланированными задачами активизирует или запускает многие задачи, которые вы установили или настроили в приложении. Эти задачи могут быть выполнены немедленно, запланированы для запуска в определенное время, а также настроены на регулярное выполнение. Для получения дополнительной информации см. раздел Сценарии и задачи.
ПРИМЕЧАНИЕ: Перед планированием задач для какого-либо устройства на нем необходимо установить стандартный агент LANDesk, а само устройство должно присутствовать в базе данных инвентаризации.
Для следующих процедур необходимо использование инструментального средства работы с запланированными задачами:
Средство формирования отчетов позволяет создавать целый ряд специализированных отчетов, содержащих важную информацию об устройствах Macintosh в сети. Инструментальное средство формирования отчетов работает одинаково для всех операционных систем. Для получения дополнительной информации см. раздел Отчеты.
Устройства Macintosh, работающие под управлением Mac OS X, поддерживают мониторинг лицензий на программное обеспечение. При каждом сканировании инвентаризации агент мониторинга программного обеспечения Macintosh отправляет на главный сервер информацию о приложениях, работающих на этом устройстве. В окне мониторинга лицензий на программное обеспечение приложения Macintosh отображаются вместе с приложениями Windows.
Вы можете выполнить сканирование файлов, основываясь на их расширениях. Список расширений для сканирования находится в файле LdAppl3.INI. По умолчанию выполняется сканирование файлов с расширениями .dmg и . pkg. Вы можете добавить нужные расширения в файл LdAppl3.ini, который по умолчанию находится в папках /Library/Applications/System/User. Местоположение файла также можно изменить. Файл LdAppl3.ini можно также использовать для сканирования мультимедийных файлов.
Приложение агента LANDesk может использоваться для отображения списка запущенных приложений и информации о частоте их запуска.
Можно использовать средство исправлений и проверки соответствия Management Suite для блокирования приложений на управляемых устройствах Macintosh. Это средство работает так же, как и на устройствах Windows, за исключением того, что на устройствах Macintosh отсутствуют заранее определенные заблокированные данные. Чтобы заблокировать те или иные приложения, необходимо создать пользовательское определение для каждого блокируемого приложения. Для этого используется процедура, описанная в разделе Создание пользовательских определений и правил обнаружения. При создании пользовательского определения необходимо выбрать параметр Применить к Mac (Apply to Mac).
ПРИМЕЧАНИЕ: На управляемых устройствах Macintosh можно заблокировать только файлы .app.
Служба исправлений и проверки соответствия — это полнофункциональное решение встроенной системы безопасности, которое позволяет защищать устройства Macintosh от большого количества распространенных рисков нарушения безопасности. Это средство позволяет управлять данными системы безопасности и исправлений, сканировать устройства, внедрять исправления и исправлять устройства.
Функции обеспечения безопасности входят в состав стандартного агента LANDesk для устройств Macintosh. Они позволяют сканировать управляемые устройства Macintosh с целью поиска уязвимых мест и осуществлять исправления путем развертывания исправлений или обновлений программного обеспечения.
Вы можете запустить сканер с консоли или вручную на клиентской машине.
Можно выполнить развертывание операционной системы с помощью агента LANDesk для Macintosh, используя NetBoot/NetInstall как часть сервера Mac OS X Server. Для получения дополнительной информации загрузите документацию по развертыванию операционной системы для устройств Macintosh с web-страницы по адресу http://community.landesk.com/support/docs/DOC-1192.