MacSysAdmin 2014

macsysadmin logo MacSysAdmin 2014 – van 16 t/m 19 september. Ook dit jaar mag ik bij dit event aanwezig zijn namens het GLR /MediaCollege. Op deze pagina probeer ik per dag de conferentie kort weer te geven. Klik hieronder op de juiste dag om snel op deze pagina te navigeren.
Aangezien er niets openbaar gemaakt mag worden over de sessies die medewerkers van Apple zelf geven, worden die sessies hier uiteraard ook niet beschreven / weer gegeven.


Maandag
 | Dinsdag | Woensdag | Donderdag | Vrijdag

Maandag 15 september

Op maandag begon de dag met de treinreis naar Amsterdam. Eerst naar Schiphol, om daar mijn koffer en rugtas in een bagagekluis op te ruimen en vervolgens verder met de trein naar station RAI. Om 10:30 uur zouden daar ‘onze’ studenten 2e en 3e leerjaar zich melden voor een bezoek aan de IBC. Om 14:00 uur heb ik de groep in goede handen van een collega achtergelaten en ben terug gereisd naar Schiphol waar om 16:10 het vliegtuig naar Gotenburg vertrok. De reis verliep lekker soepel en iets meer dan een uur laten werd het toestel vakkundig aan de grond gezet.

Zicht vanuit vliegtuig

Een taxi naar het hotel, een ritje van ruim een half uur, was snel gevonden. Het inchecken duurde iets langer aangezien er aan de straat voor het hotel gewerkt werd en men die middag, per ongeluk, de elektriciteitskabel doormidden getrokken had. Hierdoor zat het hotel tijdelijk zonder stroom en kon de computer niet gebruikt worden. Gelukkig was het ook weer snel opgelost. Halverwege de avond gingen de lampjes bij mij uit. De dag erop zou de wekker om 7:00 uur weer gaan en het was dus niet onverstandig om het hotelbed maar eens uit te gaan testen.

Dinsdag 16 september

Opening MacSysAdmin 2014

 

Nadat de ‘chief’ (Tycho Sjögren) ons allen van harte welkom heette, nam Chip Pearson (JAMF Software) de aftrap met het onderwerp “Apple in the Enterprise”. In zijn verhaal ging het om 3 zaken: Mensen – ideeën – technologie.

Onderstaande video geeft die gedachtengang aardig weer.

[tube]https://www.youtube.com/watch?v=ob_GX50Za6c[/tube]

Charles Edge (JAMF Software en krypted.com) gaf een sessie over “Worst Practices” aangezien er niet zoiets bestaat als “Good Practices”. Charles kwam met een lading aan stellingen en bij elke stelling had hij en een toepasselijke afbeelding cq foto en een pracht verhaal. Een aantal van zijn stellingen (let op: worst practices!)

  • Don’t test before demo
  • Push before testing
  • Believe everything you hear
  • Don’t have an backout plan
  • Be dirty
  • Don’t act on alerts
  • Don’t verify your backups
  • Use the UPS for the microwaveCrashing UPS van
  • Who cares where the wires are
  • Leave network cables lying around in conference rooms to cross-patch the data and telephone lines
  • Wait till just before you leave for the weekend to troubleshoot your failing backups
  • Not finding time to do it right the first time
  • Allow scope creep into technical projects
  • Act technically on a non-technical person’s instructions
  • Don’t verify the symptoms
  • Buying on looks
  • Believe in FUD (Fear, Uncertainty, and Doubt)
  • Image before testing
  • Let things get out of control
  • Cloud + large graphics files
  • Buy a lot of aging hardware
  • Don’t be deliberate
  • Don’t communicate with your users

 

Patrik Jerneheim (IT Evolution & Apoio) vervolgde de sessie met “Better safe than sorry – Security on OS X”. Beveiliging is een te groot onderwerp om daar in één sessie compleet over te zijn. Best practices bestaan niet, hebben we inmiddels geleerd. In de geschiedenis van Apple hoefden ‘we’ ons niet zo’n zorgen te maken. Dat is inmiddels wel veranderd. Was altijd al wel nodig, maar nu meer dan vroeger: (“Safety. Built right in”)

Safety. Built right in

Apple security

  • device security (login, firmware password, encryption, profiles, policies)
  • platform security (gatekeeper, application
  • data security (disk encryption, keychain, secure containers)
  • network security (encrypt, authentication)

Apple Security Philosophy

  • Ease of use
  • Guide the users
  • Secure defaults

Tools of the trade

  • nmap
  • wireshark
  • Cain & Abel
  • John the ripper
  • Metasploit

Device security (“Amateurs hack systems, professionals hack persons”)

  • EFI firmware password
  • iCloud locking
  • Configuration profiles
  •  Policy management

Platform security

  • Application sandboxing
  • Code signing
  • Gatekeeper
  • Xprotect & quarantaine

Data Security

  • Full Volume Encryption
  • Keychain access / iCloud Keychain
  • Encrypted Containers
  • Secure erase (opslag op SSD cached ook op andere plaatsen, srm helpt dan alleen voor het verwijderen van de originele file, maar schoont niet de caches op)

“Command Line Network Troubleshooting” – Charles Edge (Jamf Software and krypted.com)
In deze sessie worden voorbeelden en demo’s gegeven van veel al aanwezige tools zoals: ipconfig , ifconfig, traceroute, nmap, nc (netcat), tcpdump, airport, lsof, networksetup, scutil, host, dig, dscacheutil –flushcache, arp (-ad), nessus, serveradmin settings network, etc.

De laatste sessie was een “Exibitor” sessie en werd verzorgd door Sam Johnson (JAMF Software) met als titel “The Casper Suite In Your Organization”.
De focus werd voornamelijk gelegd op het feit dat IT support eigenlijk beter “End-User Enablement” genoemd kan worden. Je moet namelijk niet starten bij het device of de technologie, maar kijken naar de gebruikers. Wat doen zij ermee, wat hebben zij nodig om hun taak uit te kunnen voeren.
Principles of enablement:

  • empathy (vs Sympathy)
  • capability (vs Ability vs Capacity)
  • passion

Woensdag 17 september

De woensdag startte met het verhaal van Harald Monihart (Axel Springer SE) met als titel “Switching to Apple Technologies at Axel Springer”

Vorig jaar vertelde hij het verhaal waarbij een enorme migratie van Windows naar OSX had plaats gevonden. We hebben het dan over 1400 Windows 2000 clients verdeeld 15 locaties in een tijdsbestek van 3 maanden. Lessen die geleerd zijn:

  • geef de gebruikers admin rechten
  • ga de Windows en Linux Admins niet dwingen om OS X te beheren, dat groeit vanzelf
  • vertrouw op en gebruik de laatste technologie en niet teveel blijven hangen in legacy systemen
  • investeren in kennis (certificering, WWDC, nieuw talent inhuren, conferenties)
  • ideeën zo overbrengen dat het management het ook snapt
  • voorzie de eindgebruiker een totaalpakket aan services

Om de gebruikers van deze service te voorzien hebben ze onder andere het volgende ondernomen:

  • Het opzetten en openstellen van een “Service Punt”: soort mix van starbucks en een geniusbar, waar de gebruiker de diverse hardware kan zien, proberen en testen, vragen kan stellen etc onder het genot van een kopje koffie
  • Plaatsen van een automaat waar gebruikers accessoires kunnen halen (bijvoorbeeld een in-ear hoofdtelefoon in plaats van een candy-bar)
  • Runnen van een IT portal met het laatste nieuws, video tutorials etc. Om gebruikers te ‘lokken’ is een upgrade release via deze portal geïnitieerd om mensen bekend te maken met de portal
  • Het ontwikkelen van scripts voor setup bijvoorbeeld en deze bijna onzichtbaar aanbieden. Voorbeeld: een script om outlook en lync te configureren. Het script heeft het icoon van outlook en staat in het dock. Gebruiker ziet het script, klikt en de configuratie wordt voltooid. Vervolgens wordt het icoon van het script in het dock vervangen door de echte applicatie en de gebruiker weet niet eens wat er gebeurt is, maar heeft wel een werkende mailclient.
  • Gebruikte scripts worden geschreven in native taal. Cocoa/ objective C hebben voorrang boven shell of Applescript. Als voorbeeld wordt een tool getoond waarbij een user een script kan openen (met een nette GUI!) waarbij persoonlijke data in een .dmg wordt geplaatst. Deze dmg wordt vervolgens naar de persoonlijke homefolder gekopieerd. Op de nieuwe mac kan de procedure herhaald worden maar dan de andere kant op (restore). Er is veel tijd gaan zitten in het ontwikkelen van de GUI, maar daardoor zijn er wel minder problemen. Voor de eindgebruikers is het namelijk transparant en bruikbaar / gebruiksvriendelijk.
  • Bij het uitkomen van een nieuwe versie verloopt de update via de Mac App Store. Gebruikers willen en gaan toch udaten. Je kunt ze dus maar beter ondersteunen.

In de nabije toekomst:

  • Wordt een een “Welcome Screen” gebouwd met relevante info en keuzes bij een eerste inlog (setup)
  • Bij het bellen van de servicedesk wordt altijd de computernaam gevraagd. De “Today View” wordt daarom uitgebreid met een sectie waar de computernaam te vinden is en een knop om Service desk direct te kunnen bellen.
  • Kunnen gebruikers op een heel eenvoudige manier zelf een foto toevoegen of wijzigen welke in de Directory Services Profile Pictures wordt opgeslagen

De tweede sessie van deze dag werd verzorgd door Kevin M. White (Macjutsu, Inc.), voornamelijk bekend als (mede)auteur van de officiele Apple Pro Trainings boeken. Een aantal jaren gelden waren er meer examens aan de IT Pro kant waaronder Open Diretory en Deployment. Die bestaan al een tijdje niet meer . Kevin heeft samen met Arek Dryer (o.a. bekend van de OS X Server Essentials boeken) een boek geschreven met de titel: “Managing Apple Devices”. In deze sessie geeft Kevin echter de aftrap voor het onderwerp “Out of the Box iOS Deployment InDEPth”. In een latere sessie deze week zal Arek het vervolg presenteren.

boek KevinWhite: Managing Apple Devices

Er zijn ruwweg drie deployment scenario’s:

  • Individual Personal Device
  • Institutional Personal Device
  • Institutional Managed Device

In het verhaal van Kevin gaat het om de middelste. Een device wat aangeschaft en min of meer beheerd wordt door het bedrijf of de school, maar wat dus wel een persoonlijk device is. Wat in alle gevallen belangrijk is, is het beheer van Apple ID’s, iedereen heeft er 1 nodig en als beheerder wel meerdere. Daar zal een goed plan voor gemaakt moeten worden.

Device Supervision: een iOS mode waarmee bewezen wordt dat het device eigendom is van het instituut (bedrijf, school, …). Het is noodzakelijk om degelijker beheer op het iOS device te kunnen. Mogelijkheden hiervoor zijn: AppleConfigurator, OS X Server Mobile Device Management en via DEP (Device Enrollment Programm). De laatste twee gaan ‘Over The Air’ (OTA) en bij Configurator wordt het device verbonden via USB.

Vervolgens ging het verhaal verder over twee van de drie oplossingen, namelijk Configurator en DEP, waarbij MDM uiteraard gebruikt wordt. De mooiste uitspraak was vandaag dan ook van Kevin toen hij wist te melden dat “OS X server the best serveris you can buy for US$20”.

De mogelijkheden van VPP (Volume Purchase Program) en DEP (Device Enrollment Program) komen waarschijnlijk op korte termijn ook beschikbaar in Nederland. Met VPP is het mogelijk dat een instituut een bundel apps ineens koopt (in educatie vaak met korting!) en die apps kunnen uitgedeeld, maar ook weer ingetrokken worden. Daarmee is het ‘licentie’ beheer eenvoudiger geworden. Daarvoor liep een medewerker vrolijk de deur uit met alle appsgekopped aan een persoonlijk Apple ID. Met DEP is het mogelijk om middels een ID als serienummer het device direct uit de doos te managen. Scenario: een gebruiker krijgt de iPad netjes verpakt in het plastic mee. Deze wordt uit de doos gehaald en aangezet. De iPad neemt vooaf aan de setup contact op met de servers van Apple. Deze ‘ziet’ aan het serienummer dat de iPad eigendom is van bedrijf A en de setup wordt overgedragen aan de MDM oplossing van bedrijf A. Vervolgens krijgt de iPad de juiste profielen toegewezen en is aan het einde klaar voor gebruik binnen bedrijf A.

Er zijn nog een aantal issues met DEP:

  • Het is lastiger als de hardware niet direct bij Apple wordt aangeschaft maar via andere kanalen als Resellers. Daar komt overigens wel een oplossing voor.
  • DEP and restoring van een iOS backup (iTunes) gaat niet. Dan moet het device eerst it DEP gehaald worden, dan backup restoren en vervolgens weer opnemen in DEP.

Activation lock is niet actief als een device gemanaged wordt, maar je kan het wel aanzetten. Daarbij is de angst dat een device onbruikbaar wordt vanwege een lock waar jij als admin geen wachtwoord (behorende bij Apple ID van gebruiker) weet, ongegrond. Met behulp van een bypass code (te vinden in OS X Profilemanager) kan deze omzeild worden. Tip: gebruik niet de standaard groep “everyone” maar maak een dedicated groep met alle medewerkers aan.

 

Greg Neagle (Walt Disney Animation Studios) heeft vorig jaar al het één en ander verteld over Munki en het onderwerp voor dit jaar is dan ook “What’s new with Munki?”

Maar eerst, wat is Munki?

  • Munki is een set tools twaarmee je software en updates kan installeren en/of verwijderen op OS X
  • Het is voornamelijk geschreven in Python
  • Het is gratis en open source (Apache 2 licensed)

Munki server kan geinstalleerd worden op elke server (OS X, Linux en zelfs Windows – “als je echt moet”). De clienttool uiteraard alleen op OS X.

Het client manifest beschrijft wat er wel en niet op een Mac behoort te staan. Munki puzzelt vervolgeDaarbij kan het gebruik maken van packages, disk images (dmg), appleupdates en adobe(updates)

Met Munki Catalogs kan je bepalen wie wat en wanneer krijgt. Zo is het mogelijk om bijvoorbeeld een development catalog, vervolgens een testing catalog en dan een production catalog te gebruiken in de diverse stadia van uitrol.

Er zijn 3 manieren waarop een installatie uitegevoerd kan worden: stil op de achtergrond, de gebruiker wordt gevraagd om te installeren of via een zogenaamde “Self Service Portal”

Om Munki is inmiddels een heel Ecosystem gebouwd:

  • GUI (alles is namelijk command line) (Munki Admin – github)
  • Web Front Ends (MunkiWebAdmin, SAL, munkireport-php, Mandrill)
  • Alternate servers: Simian, munkiserver
  • Update automation: aamporter, autopkg,
  • Upgrade to OS X:
  • Munki-manifest-selector (voor gebruik in DeployStudio)
  • Munki-enroll
  • Munki in a box (!)

Wat is er gewijzigd in versie 2:

  • GUI moest wijzigen. Apple Updates gaan tegenwoordig allemaal via App store, dat is de gebruiker inmiddels gewend. De updates via Munki kan dus niet meer lijken op de ‘ouderwetse’ update service zoals deze er voorheen uitzag.
  • Optionele software. Dat kan nu via de Self Service portal
  • Een nieuw icoon en geheel nieuwe interface gelijkend op Apple App Store met de naam Managed Software Centre.

logo Munki2

Versie 2 is vandaag gereleased. – Meer info en links

 

 

 

Vervolgens kregen we een trailer van de nieuwe Disney fil Big Hero 6 te zien. Deze komt in de herfst van 2014 uit.

[tube]http://www.youtube.com/watch?v=z3biFxZIJOQ [/tube]

 

Hannes Juutilainen (University of Jyväskylä) verzorgde een sessie over “OS X in Educational Environment”.

Even wat IT feiten over deze universiteit in Finland:

Het geheel is gecentraliseerd, geen IT afdelingen per campus of faculteiten. Iedere campus heeft een helpdesk. 2500 personeelsleden en 15000 studenten.

Windows

  • 100 servers
  • 5000 clients

Linux

  • 250 servers
  • 300 clients

OSX

  • 1 server (gebruikt voor DeployStudio)
  • 500 clients

“Everyone eats the same food” – If you can’t use your own machine in a fully managed mode, how can you expect your normal users do so.

Spreker komt met een groot aantal voorbeelden waar zij specifiek tegen aan lopen zoals, active directory accounts, users met onvoldoende rechten (geen admins), updates van een groot aantal software pakketten. Vervolgens gaat de spreker vrij gedetailleerd in op het proces van deployment zoals dat specifiek werkt in hun omgeving.

 

Het volgende onderwerp was “AutoPkg: Crowd-sourcing Mac packaging and deployment” door Greg Neagle (Walt Disney Animation Studios)
en Tim Sutton (Concordia University, Faculty of Fine Arts)

Er wordt een voorbeeld gegeven van een Java update versie 7 xxxx. Importeren in Munki geeft “versie 1” omdat het een versienummer van de package installer is. Je zal dus handmatig zaken moeten wijzigen in het XML bestand. Sommige apps hebben 3 verschillende versies terwijl het versienummer hetzelfde is. Built nummer is wel anders, maar dat staat niet automatich in het xml bestand.

Samenvattend:

  • Je moet eerst uitzoeken dat er een update is
  • Dan bepalen hoe je die update kan downloaden (welk bestand)
  • Vervolgens het downloaden zelf
  • Dan de download beschikbaar maken voor munki
  • Deze importeren in Munki
  • Om vervolgens de eigen metadata toe te voegen en/of te wijzgen

En dat moet niet alleen voor java updates maar ook voor andere pakketten. Dit kost veel tijd. Dat kan makkelijker met Autopkg (automation tool) geschreven in Python. Er bestaat ook een community waarin veel gedeeld wordt, waaronder ‘processes’ en ‘recipes’.

Sequence of actions (vg uitkomst van proces één wordt doorgegeven (pipe) naar een ander proces). Wat er moet gebeuren wordt beschreven in een recipe (plist) leesbaar voor mensen en devices. De recepten worden gedeeld via de community. Autopkg kan deze recipes gebruiken waardoor je de updates / software automatisch kan toevoegen aan de repository van Munki.

Een proces kan gebruik maken van een ander (eventueel al bestaand) proces.

NEW:

  • $ autopkg search – hiermee kan je binnen autopkg zoeken naar een, al bestaand, recipe
  • AppStoreApp recipes
  • Autopkg Change Notifications
  • New Core Processors (bijv. download url zoeken in html pagina, checksum match, GUI Autopkgr.app)
  • Shared processors (zodat je processors kan gebruiken van anderen zonder dat ze opgenomen zijn in autopkg)

Meer info en links

 

Het onderwerp van Marko Jung (University of Oxford) ging over “Culture Change”.

Mobile Device Management (MDM) is al weer oud. We hebben het nu over EMM (Enterprise Mobility Management).

De tips en de trucs:

  • Voorkom indien mogelijk “vendor lock inn”
  • Gebruik HTML5 content waar mogelijk
  • Gebruik (in app) single sing on
  • Bescherm content door encryptie
  • Omarm open standaarden
  • Faciliteer open source waar mogelijk

Vervolgens werd ook hier redelijk gedetailleerd uit de doeken gedaan hoe één en ander in elkaar steekt op het gebied van mobiel en desktop gebruik binnen de universiteit.

 

De laatste sessie van de dag werd ook nu weer verzorgd door een leverancier. Vandaag was dat John De Troye (FileWave) met als onderwerp “One-to-One Reality Check for IT”

Als een één-op-één programma datgene is wat wenselijk is moet er op diverse fronten goed nagedacht worden.

Planning:

  • Capaciteit wifi en elektriciteit (aantal groepen?)
  • Dekking wifi binnen de afdeling of het gebouw
  • Dichtheid (hoeveel devices gaan er straks tegelijk dicht bij elkaar een connectie maken? Denk bijvoorbeeld aan een collegezaal)
  • Network services à ldap services  (not logins) voor e-mail, vpp authentication, chat dus collaboration services

Verantwoordelijkheden (attitude):

  • je hoeft niet alles onder controle te hebben
  • voorbeeld: laat users zien hoe en waar ze kunnen backuppen. Daarna is het hun verantwoording
  • bij vrijheid hoort dus ook verantwoordelijkheid

Mobility is user centric, not business centric

Support:

  • vertrouwen
  • leren
  • aanmoedigen
  • administrative privileges
  • de gebruikers zijn niet hetzelfde als jij, hebben andere behoeften en een andere manier van werken. Het is geen IT personeel. Ze hoeven niet hetzelfde te weten en te kunnen
  • maak gebruik van “brown bag” training sessies waarbij tijdens een lunch een demo gegeven wordt of een workshop gevolgd kan worden
  • laat ze experimenteren
  • help ze relevante oplossingen vinden (nieuwe, andere software)
  • er bestaan geen “domme” vragen
  • wordt hun mentor

Leer ze dat niet alles op te lossen is met technologie

  • voor IT is de keuze voor mobile devices een strategische keuze, voor eind gebruikers is het echter een taktische keuze
  • vraag feedback
  • usability is belangrijker dan applicatie strategie
  • wees minimalistisch en wees flexibel
  • BYOD gaat nog komen als iedereen echt een eigen device mee gaat nemen waarvan ze niet willen dat het gemanaged gaat worden. Zorg dat je voorbereidt bent (BOYD = next gen 1-to-1)

 

Donderdag 18 september

Luis Giraldo (Ook Enterprises Ltd) hield een sessie in de Apple community over “Citizens of the World: Macs in Windows Server Environments”, waarbij hij een live demo gaf op een Windows Server 2012 R2 OS. De XServe is inmiddeld al weer een aantal jaren verdwenen en bedrijven zoeken naar een stabiel plaform welke kan draaien op rackmounted servers. De keuze voor een MacMini server of een MacPro is immers niet altijd logisch in een data center. In deze oplossing wordt aan de backend Windows Server gebruikt en aan de frontend dus OS X.

In de live demo worden onderstaande services geïnstalleerd en geconfigureerd:

  • ActiveDirectory
  • DomainNameSystem
  • FileSharing
  • NetWorkHomeDrives
  • Radius
  • VirtualPrivateNetwork

Checklist en screencast 

Aan het einde van de demo bemoeide de live-demo-duivel zich er helaas mee. De problemen bleken uiteindelijk te liggen aan het feit dat er, vanwege de tijd, gebruik gemaakt werd van een snapshot van de Virtual Machine waarin Active Directory al geinstalleerd stond. Deze snapshot was gemaakt in een andere tijdzone. Na het restoren van de snapshot heft de server geen reboot gekregen. Daardoor liep het volledig fout met o.a. Kerberos.

WindowsServer

“NetBoot Deconstructed” was het onderwerp dat door Duncan McCracken (Mondada) toegelicht werd. Hierbij werd gekeken of het mogelijk is om NetBoot te draaien en aan te bieden vanaf een Windows PC. Duncan gaf aan dat het lastigste deel van BSDP (Boot Service Discovery Protocol) in de DHCP zit. De DHCP.conf wordt vervolgens hexadecimaal stukje voor stukje doorgenomen wat het doet en hoe je het zou kunnen wijzigen. De rollen / features die je in Windows ieder geval nodig hebt zijn:

  • DHCP
  • File Server / Server for NFS
  • Web Server (IIS)
  • WDS (Windows Deployment Server) -> De TFTP server wordt na Windows 2003 Transport Server genoemd en is een feature

Technisch is het mogelijk om NetBoot vanaf Windows aan te bieden maar er zitten zoveel haken en ogen aan (bijvoorbeeld updaten) dat het niet aan te raden is. Er zijn andere en goedkopere mogelijkheden.

 

Arek Dreyer (Dreyer Network Consultants) lichtte het onderwerp “Understanding iOS Managed Open In …” toe. Deze sessie ging verder waar Kevin White op woensdag gebleven was.

VPP Managed Distribution:

  • apps, ibooks and B2B (Business to Business) apps
  • enterprise of business
  • Diegene die als VPP “program agent” de deal met Apple aangaat moet autoritatief zijn om te tekenen. Als consulent of IT medewerker kan je dat wel begeleiden, maar je moet dat dus niet zelf doen

Als je VPP gaat toepassen is het zinvol om Caching Server 2 in een OS X server te gebruiken. Hierdoor zal de snelheid van het downloaden van apps vele malen sneller gaan. De eerste keer dat een app gedownload wordt gaat dat rechtstreeks van Apple, maar de Caching Server zal een kopie opslaan en die bij een volgend verzoek presenteren.

De stappen die doorlopen moeten worden:

  • Configureer de MDM oplossing voor het gebruik van VPP
  • Stuur de gebruikers / devices een uitnodging om VPP te gebruiken
  • Schaf de benodigde Apps aan
  • Wijs de gekochte Apps (VPP Licenties) toe aan de gebruiker(s) /groep(en)
  • Push de App naar het device of de gebruiker
  • Indien nodig: trek de licentie van de App voor een gebruiker of device weer in (vb. Indien een werknemer het bedrijf verlaat)

Issues:

  • Gebruikers moeten een Apple ID gebruiken om te authenticeren bij de Apple Store
  • Het werkt (nog) niet samen met In-App-Purchases
  • iBooks kun je niet terugtrekken (invoke)
  • Gratis Apps worden als gift aangeboden aan de gebruiker als de App middels VPP terug getrokken is

VPP Client issues:

  • MDM kan de Apple ID’s die gebruikt worden door de gebruikers binnen VPP niet inventariseren
  • De toegewezen Apps kunnen door de gebruiker op meerdere iOS devices door de gebruiker geïnstalleerd worden (als hetzelfde Apple ID gebruikt wordt uiteraard)

In iOS7 werd een nieuwe feature “Managed Open In …” gepresenteerd. het doel is om het, al dan niet, per ongeluk delen van bedrijfsdocumenten te voorkomen. Een document kan op die manier alleen geopend worden met een App die gemanaged wordt. Het legt dus beperkingen op als je kiest voor de optie “Openen in …”. Niet alle mogelijkheden worden dan getoond.

In een demo wordt vervolgens het hele proces getoond.

Attendees

Het volgende onderwerp was MacSysAdmin – The Hacker Way” door Ajay Chand and Mike Dodge (Facebook).

In de sessie van Facebook ging het voornamelijk over de diverse scripts (code) die zij gebruiken in hun omgeving. Veel van die scripts zijn zelf geschreven, maar ook Munki wordt weer genoemd. Als voorbeeld werd genoemd: Een aantal Mac’s bleken om onverklaarbare wijze een ‘unbind’ uit te voeren naar de Directory Services, terwijl in de client zelf het bekende ‘groene lampje’ bleef branden. Met een custom script werd deze ‘binding’ onderzocht waarna een rapportage gedaan werd.

  • bij hoeveel devices was dit het geval? Indien een device gevonden was, werd de ‘binding’ meteen hersteld door het script
  • bij hoeveel devices is dat wel of niet gelukt?
  • bij hoeveel devices is binding niet nodig
  • hoeveel devices zijn in orde

In het tweede deel van de sessie werd dieper ingegaan op de data analyse die hiermee uitgevoerd wordt.

In de laatste sessie van Arek Dreyer (Dreyer Network Consultants) en Kevin White (Macjutsu, Inc) werd het onderwerp Enterprise Books and Managed Domains” centraal gesteld.

Managed Books: iBooks Store

  • De organisatie moet een copy van het boek aanschaffen, ook als de gebruiker dat boek bijvoorbeeld al persoonlijk heeft aangeschaf
  • Het managen is lastig, hoe weet je of een gebruiker het boek gedownload heeft
  • Een gebruiker kan het boek zelf ook verwijderen

Managed Books: Enterprise Books

  • Mogelijke bestanden: PDF, ePub en iBooks author bestanden
  • Worden veilig, op een andere plaats in het geheugen, opgeslagen

Managed Domains (white listed) bestaat uit de mogelijkheden om e-mail en Safari domeinen aan te geven. Hiermee kan je bereiken dat bepaalde content (bijv een PDF) niet met een bepaalde unmanaged App geopend kan worden of dat een document niet naar bepaalde domeinen domeinen gemaild kunnen worden. Dat werkt zelfs als er meerdere mail accounts (managed en unmanaged) door elkaar aanwezig zijn. Het werkt op basis van een white-list. Dus alleen domeinen die genoemd staan mogen bijvoorbeeld gemaild worden. Ook dit wordt middels een live-demo getoond.

 

De “Exhibitor” sessie werd vandaag gegeven door Alexander J. Pantos (Parallels) en had als titel Manage OS X Devices with SCCM and the Parallels Mac Management Plug-In” De persoon die het technische deel (SCCM) van de demo zou geven kon op het laatste moment niet komen. De sessie over Parallels (zonder SCCM) werd nu door Alexander gegeven. Daarbij werden de nieuwe features van Parallels versie 10 toegelicht:

Parallels

  • Better Battery life (up to 30% longer)
  • Working with Office 2013 (Up to 50% faster)
  • Real-time VM-optimizations (Automated Compacting)
  • Linked Clones (Fast, disk space efficient VM Clones)
  • Vagrant Provider (Setup VMs with help of CLI and configuration files)
  • High-Demand Customization (16 vCPUs, 64 GB Ram, Nested VM’s)
  • VM-creation from VHD, VMDK (Access to Microsoft Appliances)

In de Desktop Enterprise versie zitten de volgende (extra) mogelijkheden:

  • Netboot & FileVault support
  • USB Device Policy
  • Licensing Portal

Grappig detail: in Parallels kun je een optie aanzetten waardoor je een legacy startmenu hebt in Windows 8.

 

Vrijdag 19 september

“Monitoring Macs the Google Way” werd gepresenteerd door Edward Marczak (Google).

Enkele details:

  • 50.000 Mac’s bij Google
  • 70 kantoren – 40 landen
  • ruim 47000 medewerkers

Het is met zoveel devices belangrijk om te meten, om data te verzamelen en deze te gebruiken om te analyseren, te plannen, te visualiseren en om te waarschuwen (email, sms, pager of telefoon (telebot)). De mooiste uitspraak van Edward is dan ook: “AAAS – Alerting As A Service”. Heel veel partijen in de wereld doen intensief aan monitoring (o.a. gezondheidzorg, verkeersdiensten, educatie), maar IT zit daar meestal niet bij.

Network Traffic

Enkele ‘tools’ die kort besproken zijn en die je kan gebruiken (al is het eenvoudig!) zijn bijvoorbeeld:

  • $ iostat
  • $ df (diskfree)
  • $ top -1 1 (memory faults)
  • $ vm_stat
  • $ diskutil list (Filevalukt 2 Disk Encryption)
  • $ disk util list disk1 | grep encrypted
  • $ diskutil info –plist ….
  • $ netstat –I en0 –b
  • $ tcpdump
  • $ airport –I

“Don’t be afraid of the bad version & Learn to code”

 

Andrina Kelly & Diana Birsan (Bell Media) behandelden diverse mogelijkheden van coderen met de titel “Can’t We All Just Get Along?”. Termen als API’s, SDK, SOAP, JSON en REST kwamen in een snel tempo voorbij. Ondertussen werden veel live demo’s gegeven.

Andrina Kelly & Diana Birsan (Bell Media)

 

Jonathan Levin (Technologygeeks) auteur van het boek “Mac OS X and iOS Internals” (Wiley 2012) bracht het onderwerp “Launchd – At your service”. In een rap tempo kwam er veel technische informatie voorbij. Omdat Jonathan dit onderwerp ook in zijn boek beschreven heeft, waar overigens binnenkort een 2e editie van uit komt (incl OSX 10.10 / iOS8) heeft hij dat hoofdstuk ter beschikking gesteld als pdf, incl zijn presentatie. Op het moment van schrijven is genoemde pdf hier te vinden / downloaden.

Het tempo, de kennis en vaardigheid en het gemak waarmee zijn presentatie liep was heel bijzonder. Hieronder volgen twee tweets die dat perfect beschrijven.

“Study Jonathan Levin’s connection between the brain and the mouth for the next version of Thunderbolt!”

 “And Jonathan is likely to die after the session – he forgot to breath… Very interesting and helpful talk”

LaunchD roles

En daarmee kwam er aan MacSysAdmin2014 een einde. Zeer leerzaam en een bijzondere groep mensen. Het was gewoonweg wederom meer dan goed. De verwachte data voor volgend jaar zijn: 29 september – 2 oktober 2015.