[RESOLU] Gestion des policies Firefox/Thunderbird sous MacOS

Questions about WAPT Packaging / Requêtes et aides autour des paquets Wapt.
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Répondre
bastien30
Messages : 25
Enregistré le : 08 mars 2024 - 15:21

28 oct. 2024 - 18:12

Bonjour,

Comme demandé sur le canal Discord voici mes observations suite à mes tests récents avec Thunderbird/Firefox et leurs policies sous MacOS.

Lorsqu'on met à jour l'un de ces soft, tous le contenu du répertoire .app dans /Applications est supprimé par la fonction install_app() qui copie ensuite le dossier .app de la nouvelle version, du coup le dossier distribution et le fichier policies.json sont supprimés (nous utilisons également l'autoconfig/MCD pour configurer le LDAP ou ajouter des identifiants sur les nouveaux profils, et cela saute aussi du coup).

J'ai du coup récupéré/renommé/modifié vos paquets Firefox/Thunderbird dans notre dépôt pour réappliquer l'audit de tout ces paquets après l'installation, ce qui a pour effet de réappliquer les modification directement, sans attendre le prochain audit (la fonction audit() appellant la fonction install() en cas de fichier manquant).

L'autre solution, si l'on utilise uniquement les policies, est d'utiliser un fichier .plist (https://github.com/mozilla/policy-templ ... master/mac / https://github.com/thunderbird/policy-t ... entral/mac) qui lui ne sera pas supprimé par la mise à jour.

Cela implique de maintenir deux fichiers différents ou bien de convertir le fichier .json en .plist dans le paquet (éventuellement avec la commande plutil https://gist.github.com/sugarmo/5334805 mais je n'ai pas testé).

Cela implique également de devoir lancer la commande suivante (ici pour Firefox, mais idem pour Thunderbird, voir les liens précédents) :

Code : Tout sélectionner

run("sudo defaults write /Library/Preferences/org.mozilla.firefox EnterprisePoliciesEnabled -bool TRUE")


Autre problème rencontré, et qui ne se produit bizarrement que sur Thunderbird : lors d'une première installation et/ou après une mise à jour, au premier lancement du programme, Mac va vérifier la signature de l'application.

Si la signature n'est pas bonne il met un message indiquant que l'application est endommagée et refuse de la lancer (obligé de passer par les préférences systèmes / confidentialité et sécurité pour forcer l'autorisation, ce qui est un peu pénible, surtout à chaque mise à jour), or la signature n'est plus bonne après la copie de n'importe quel fichier (typiquement le fichier policies.json) dans /Applications/Thunderbird/Contents/Resources/
on peut vérifier la signature via la commande suivante :

Code : Tout sélectionner

codesign --verify --verbose /Applications/Thunderbird.app
Si on lance le programme une première fois et qu'on installe le paquet de policies après, pas de problème (il faut cependant donner les droits d'accès au disque complet à wapt-get si on veut lancer l'action depuis la console wapt, idem pour le terminal si on veut lancer l'installation en cli), mais il faut le faire à chaque mise à jour du paquet du coup...

La seule solution que j'ai trouvé, pour ne plus avoir ce soucis est de resigner le paquet après avoir ajouté les fichier de policies, via la commande suivante :

Code : Tout sélectionner

codesign -f -s - /Applications/Contents/MacOS/thunderbird
C'est vraiment pas simple le déploiement d'applications sous MacOS, dès qu'on veut faire autre chose que juste installer un dmg/pkg... 😮‍💨
Si ça peut éviter à d'autres de perdre des heures là dessus... 😅
Haut
Répondre

Retourner vers « WAPT Packages / Paquets WAPT »


  • Pour aller plus loin avec WAPT