[GELÖST] Verwaltung von Firefox-/Thunderbird-Richtlinien unter macOS
Veröffentlicht: 28. Oktober 2024 – 18:12 Uhr
Guten Morgen,
Wie im Discord-Kanal gewünscht, hier meine Beobachtungen nach meinen jüngsten Tests mit Thunderbird/Firefox und deren Richtlinien unter MacOS.
Wenn eines dieser Softwareprogramme aktualisiert wird, werden alle Inhalte des .app-Verzeichnisses in /Applications durch die Funktion install_app() gelöscht, die dann den .app-Ordner der neuen Version kopiert. Dadurch werden der Distributionsordner und die policies.json-Datei gelöscht (wir verwenden außerdem autoconfig/MCD, um LDAP zu konfigurieren oder Kennungen zu neuen Profilen hinzuzufügen, was ebenfalls verloren geht).
Ich habe daher Ihre Firefox/Thunderbird-Pakete in unserem Repository abgerufen/umbenannt/modifiziert, um die Überprüfung aller dieser Pakete nach der Installation erneut durchzuführen. Dies hat zur Folge, dass die Änderungen direkt angewendet werden, ohne auf die nächste Überprüfung zu warten (die Funktion audit() ruft die Funktion install() auf, falls eine Datei fehlt).
Die andere Lösung, wenn Sie nur Richtlinien verwenden, besteht darin, eine .plist-Datei zu verwenden (https://github.com/mozilla/policy-templ... master/mac / https://github.com/thunderbird/policy-t...entral/mac) die durch das Update nicht entfernt werden.
Dies beinhaltet die Pflege zweier separater Dateien oder die Konvertierung der .json-Datei in eine .plist-Datei innerhalb des Pakets (möglicherweise unter Verwendung des plutil-Befehls). https://gist.github.com/sugarmo/5334805 (Ich habe es aber nicht getestet).
Dies bedeutet auch, dass der folgende Befehl ausgeführt werden muss (hier für Firefox, aber das Gleiche gilt auch für Thunderbird, siehe die vorherigen Links):
Ein weiteres Problem, das seltsamerweise nur bei Thunderbird auftritt: Bei der Erstinstallation und/oder nach einem Update überprüft Mac beim ersten Start des Programms die Signatur der Anwendung.
Ist die Signatur ungültig, wird eine Meldung angezeigt, die auf eine Beschädigung der Anwendung hinweist, und der Start wird verweigert (Sie müssen dann in den Systemeinstellungen unter „Datenschutz & Sicherheit“ die Autorisierung erzwingen, was insbesondere nach jedem Update etwas umständlich ist). Die Signatur ist jedoch nicht mehr gültig, sobald eine beliebige Datei (in der Regel die policies.json-Datei) nach /Applications/Thunderbird/Contents/Resources/ kopiert wird.
Die Signatur kann mit folgendem Befehl überprüft werden:
Wenn Sie das Programm einmal starten und anschließend das Richtlinienpaket installieren, gibt es kein Problem (allerdings müssen Sie wapt-get volle Festplattenzugriffsrechte erteilen, wenn Sie die Aktion über die wapt-Konsole ausführen möchten; dasselbe gilt für das Terminal, wenn Sie die Installation über die Befehlszeile durchführen möchten). Dies müssen Sie jedoch jedes Mal tun, wenn Sie das Paket aktualisieren.
Die einzige Lösung, die ich gefunden habe, um dieses Problem zu umgehen, besteht darin, das Paket nach dem Hinzufügen der Richtliniendateien neu zu signieren. Hierfür verwende ich folgenden Befehl:
Das Bereitstellen von Anwendungen unter macOS ist alles andere als einfach, insbesondere wenn man mehr tun möchte, als nur eine DMG-/PKG-Datei zu installieren... 
Wenn es anderen erspart, stundenlang damit zu verschwenden...
Wie im Discord-Kanal gewünscht, hier meine Beobachtungen nach meinen jüngsten Tests mit Thunderbird/Firefox und deren Richtlinien unter MacOS.
Wenn eines dieser Softwareprogramme aktualisiert wird, werden alle Inhalte des .app-Verzeichnisses in /Applications durch die Funktion install_app() gelöscht, die dann den .app-Ordner der neuen Version kopiert. Dadurch werden der Distributionsordner und die policies.json-Datei gelöscht (wir verwenden außerdem autoconfig/MCD, um LDAP zu konfigurieren oder Kennungen zu neuen Profilen hinzuzufügen, was ebenfalls verloren geht).
Ich habe daher Ihre Firefox/Thunderbird-Pakete in unserem Repository abgerufen/umbenannt/modifiziert, um die Überprüfung aller dieser Pakete nach der Installation erneut durchzuführen. Dies hat zur Folge, dass die Änderungen direkt angewendet werden, ohne auf die nächste Überprüfung zu warten (die Funktion audit() ruft die Funktion install() auf, falls eine Datei fehlt).
Die andere Lösung, wenn Sie nur Richtlinien verwenden, besteht darin, eine .plist-Datei zu verwenden (https://github.com/mozilla/policy-templ... master/mac / https://github.com/thunderbird/policy-t...entral/mac) die durch das Update nicht entfernt werden.
Dies beinhaltet die Pflege zweier separater Dateien oder die Konvertierung der .json-Datei in eine .plist-Datei innerhalb des Pakets (möglicherweise unter Verwendung des plutil-Befehls). https://gist.github.com/sugarmo/5334805 (Ich habe es aber nicht getestet).
Dies bedeutet auch, dass der folgende Befehl ausgeführt werden muss (hier für Firefox, aber das Gleiche gilt auch für Thunderbird, siehe die vorherigen Links):
Code: Alle auswählen
run("sudo defaults write /Library/Preferences/org.mozilla.firefox EnterprisePoliciesEnabled -bool TRUE")Ein weiteres Problem, das seltsamerweise nur bei Thunderbird auftritt: Bei der Erstinstallation und/oder nach einem Update überprüft Mac beim ersten Start des Programms die Signatur der Anwendung.
Ist die Signatur ungültig, wird eine Meldung angezeigt, die auf eine Beschädigung der Anwendung hinweist, und der Start wird verweigert (Sie müssen dann in den Systemeinstellungen unter „Datenschutz & Sicherheit“ die Autorisierung erzwingen, was insbesondere nach jedem Update etwas umständlich ist). Die Signatur ist jedoch nicht mehr gültig, sobald eine beliebige Datei (in der Regel die policies.json-Datei) nach /Applications/Thunderbird/Contents/Resources/ kopiert wird.
Die Signatur kann mit folgendem Befehl überprüft werden:
Code: Alle auswählen
codesign --verify --verbose /Applications/Thunderbird.appDie einzige Lösung, die ich gefunden habe, um dieses Problem zu umgehen, besteht darin, das Paket nach dem Hinzufügen der Richtliniendateien neu zu signieren. Hierfür verwende ich folgenden Befehl:
Code: Alle auswählen
codesign -f -s - /Applications/Contents/MacOS/thunderbird
Wenn es anderen erspart, stundenlang damit zu verschwenden...
