¿Es posible permitir la instalación de paquetes/archivos específicos sin credenciales de administrador modificando los derechos de autorización? He podido permitir la instalación de todos modificando los derechos de instalación en authorizationdb.
Lo que pide es posible de varias maneras. Utilizamos marcos de gestión como JAMF Pro o Munki a script y gestionar cambios arbitrarios e instalaciones para que ningún usuario tenga que descargar / empaquetar / instalar o preguntar. Estas son poderosas opciones de automatización distribuida, pero cuestan tiempo y salario y experiencia y licencias.
Usted puede rodar su propio instalador más mínimo, la mayoría requieren un poco de habilidad si usted no puede cambiar su instalador para que sólo se ejecute como no-admin, pero son más ligeros costo y el peso de una solución de MDM suite. Ver homebrew para un gran ejemplo de un instalador que necesita admin sólo en la configuración y no al instalar nuevo código. Si necesitas un instalador admin y no puedes usar brew cask para empaquetar tus aplicaciones, una forma fiable es escribir un demonio que se ejecute como admin. Microsoft Office, Adobe y muchos otros programas hacen esto, el sistema de instalación se ejecuta en el lanzamiento o como un demonio y obtiene privilegios de administrador y luego utiliza el sistema operativo para ejecutar periódicamente.
Esto evita la intención del diseño de que el instalador solicite admin en el último momento cuando se activan las instalaciones. Seguir la intención de diseño es generalmente más seguro y mucho menos trabajo para usted y sus clientes.
En mi caso se supone que debo permitir la instalación de cualquier aplicación de terceros (incluyendo la que requiere credenciales de administrador) por los usuarios estándar que están en la lista blanca por el administrador.
Lamentablemente, la información necesaria para evaluar si un paquete instalador está en la lista blanca no está disponible durante las solicitudes para obtener un system.install.* derecha .
Llamadas a MacOS Servicios de autorización no incluya detalles sobre qué se utilizará la autorización.
Incluso si implementa un Complemento de autorización la solicitud de autorización no mencionará qué paquete se está instalando.
Utilice plug-ins para ampliar los servicios de autorización de macOS para realizar autorizaciones de una nueva forma o para implementar una nueva política que sea demasiado compleja para implementarla por completo con la base de datos de políticas de autorización.
Aquí tienes algunas opciones:
SMJobBless para conceder derechos de administrador a petición; consulte ActualizarCore para ver un ejemplo de herramienta de ayuda con privilegios de administrador que instala software;
He implementado un plugin de autorización personalizado. ¿Existe alguna forma de identificar qué aplicación se está instalando? He intentado acceder a los valores de contexto y sugerencia, pero no he podido obtener detalles sobre la aplicación que se está instalando.
No, esa información no está disponible en la solicitud. Sospecho que los ingenieros de Apple considerarían la información una posible filtración de seguridad. Una posible solución de Apple comprobaría system.install.pkg.<bundle of pkg> antes de una comprobación más genérica de la derecha.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
0 votos
Asumiré que no te refieres a usar credenciales de admin para delegar admin a una cuenta no admin usando algo como el archivo sudoers. Por favor, aclare lo que busca si mi respuesta no está en la marca. Básicamente, parece que estás definiendo un instalador de malware que no depende de engañar a un admin para autorizar la instalación.
0 votos
Lo que quería decir era crear un plugin de autorización que permitiera la instalación de ciertas aplicaciones de la lista blanca (que podrían ser identificados por el editor) sin pedir la contraseña de administrador.