Me pregunto si hay un proceso que la gente utiliza aquí para desplegar perfiles 802.1x en un entorno Windows AD en el hardware de Apple específicamente MacBook Pros?
En concreto, cuando se renueva la CA root y hay que desplegar perfiles. He leído sobre algunas técnicas aquí:
En ellas se menciona a un tercero o la información está obsoleta. Puede que me esté perdiendo algo, pero cualquier ayuda será muy apreciada.
Así que la solución que se me ocurrió no es perfecta pero supera muchas de las cosas que estaba leyendo en internet. Decidí usar Ansible para configurar remotamente los ordenadores Mac. Ansible utiliza ssh que la mayoría de los macs en nuestro entorno tienen activado por defecto. Yo recomendaría desplegar un usuario de cuenta de servicio de Ansible en los macbooks para hacer las siguientes tareas. Quiero iterar que esta tarea es porque estamos usando una CA de Windows y los perfiles necesitan ser recargados SI el cert de la CA de Windows expira. El problema que hemos tenido es que los portátiles no se conectan a 802.1x sin dicha configuración móvil. La solución es hacer que los portátiles se conecten a la red a través de una wifi de invitados y luego vpn en la red. Preferiblemente una red de invitados que su empresa tiene que es independiente de los recursos internos.
Utilizaremos el siguiente playbook de Ansible para asegurarnos de eliminar el perfil antiguo y luego transferirlo. Apple permite instalar configuraciones móviles a través de la línea de comandos, pero no pude conseguir que funcione, por lo que una instalación manual del perfil es necesaria después de la transferencia, pero los pasos difíciles se hacen.
Aquí está el playbook y el perfil de eliminación script.
# Remove mac Profile
- name: Transfer and execute a script
hosts: all
user: USER
sudo: true
tasks:
- name: Execute the script
script: /home/USER/ansbile-play/removeProfile.sh
- name: Execute transfer of mobile config
copy:
src: /home/USER/MacMobile.mobileconfig
dest: /Users/Shared/
mode: 0644
#!/bin/bash
sudo /usr/bin/profiles -P | grep com.apple.mdm | awk -F'profileIdentifier:' '{print $2}' | awk '{sub(/^[ \t]+/, ""); print}' > test
testvar=$(cat test)
sudo /usr/bin/profiles -R -p $testvar
sudo rm testDespués de tener esta configuración necesitará tener un archivo de hosts con los hosts a los que le gustaría desplegar. Hacer esto manualmente es una molestia por lo que sugiero crear dinámicamente fuera de Active directory o como sea que usted maneje las computadoras.
He aquí algunos recursos que he utilizado para resolver este problema https://docs.ansible.com/ansible/latest/index.html https://serversforhackers.com/
Esta no es una solución perfecta y mi código tampoco es perfecto. Siéntase libre de editar o cambiar de cualquier manera que le parezca, pero esto funcionó para mí y fue una solución rápida bastante buena a un problema.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
