MacSysAdmin 2015

Logo MacSysAdmin 2015MacSysAdmin 2015 – van 29 september t/m 2 oktober. Ook dit jaar mag ik bij dit event aanwezig zijn namens het GLR. Op deze pagina probeer ik per dag de presentaties kort weer te geven. Klik hieronder op de juiste dag om snel op deze pagina te navigeren.
Aangezien er niets openbaar gemaakt mag worden over de sessies die medewerkers van Apple zelf geven, worden die sessies hier uiteraard ook niet beschreven / weer gegeven.


Maandag
 | Dinsdag | Woensdag | Donderdag | Vrijdag

Maandag 28 september

Net zoals de vorige keren bestaat de eerste dag voornamelijk uit het reizen naar Gotenburg. Concreet betekent dat lopend naar het station dan de sprinter naar Rotterdam CS om vervolgens de InterCity Direct naar Schiphol te nemen. Inchecken was de avond ervoor al gedaan dus de controle ging snel en vlotjes. Na ruim een uur konden we dan boarden en vertrekken. Wel grappig dat een aantal Amerikaanse sprekers (w.o Greg Neagle – WaltDisney Studios en Kevin White – auteur) blijkbaar een overstap hadden in Nederland. Zij vlogen in ieder geval met dezelfde CityHopper naar Gotenburg. Om niet helemaal in hetzelfde ritme als de vorige keren te vervallen heb ik besloten dit keer de bus van het vliegveld naar de stad te proberen in plaats van een taxi. En ik moet eerlijk bekennen dat dat eigenlijk net zo snel (ca. 30 min) en makkelijk ging als met een auto. De bus had als extra dan ook nog eens “free wifi”.

Morgen op tijd aanmelden en dan gaat het echt beginnen …

Zweden vanuit het vliegtuig

Dinsdag 29 september

De opening, als vanouds gedaan door de Chief himself (Tycho), werd helaas overschaduwd door zijn mededeling dat hij er bija niet bij had kunnen zijn. Enige tijd geleden is er kanker vastgesteld, waar hij inmiddels voor behandeld wordt. De hele dag was Tycho aanwezig, maar liet het gastheerschap aan een ander over en dat zegt volgens mij genoeg.

Tijdens de opening werd er stil gestaan bij 10 jaar MacSysAdmin en werden we aan de hand van anekdotes en foto’s meegenomen door de tijd. Vervolgens werden er een aantal awards uitgereikt, waaronder “Best Source of Knowledge” en “Best Non-Commercial MacSysAdmin tool”.

Vervolgens lieten de gezamenlijke sprekers een filmpje zien dat ze samengesteld hadden en waarin anekdotes en hoogtepunten van 10 jaar MacSysAdmin verteld en vertoond werden.

In OS State of the Union werden we meegenomen langs de updates en de mogelijkheden van de laatste ontwikkelingen op OS X en iOS en aanverwante technologieën.

From NeXT to Now” werd gepresenteerd door John Soward (Kentucky Dataseam Initiative) en bestond voornamelijk uit een ‘walk down memorylane’ betreffende de producten van NeXT, het bedrijf dat wijlen Steve Jobs heeft opgericht nadat hij Apple moest verlaten (1985).

NeXT Cube

Tim Sutton (Concordia University, Faculty of Fine Arts) besprak onder de titel “MacSysAdmin Tools Smörgåsbord” een aantal van de tools die hij (mede) ontwikkeld heeft. Aan de orde kwamen:

  • mcxToProfile
  • make-profile-pkg
  • aamporter (adobe updates import in Munki)
  • CC licensing
  • OSX-vm-templates
  • Winclone-image-builder

Meer informatie: https://github.com/timsutton en http://macops.ca/smorgasbord/

To FileVault or not – that is the question” werd gepresenteerd door Alan Gordon (Progressive)

Aan de hand van 3 real stories geeft Alan zijn visie op het gebruik van FileVault waarin onder andere de volgende (mis)concepten aan de orde komen.

  • Als een user ingelogd is heeft FileVault geen functie
  • Als een document van een Filevalut protected drive gekopieerd wordt naar een USB stick of een Cloud Drive heeft FileVault voor die data geen zin (meer)
  • Local Admins hebben de mogelijkheid om FileVault uit te zetten of Screen Lock te deactiveren, ook dan heeft FileVault geen zin

In een korte demo liet Alan vervolgens zien hoe een ‘gekregen’ USB stick met productinfo als een Trojan kan werken en data kan uploaden naar een onbekende server. In dergelijke gevallen heeft FileVault geen zin. Kortom: het bewust omgaan met technologie, hard- en software is zeker zo belangrijk als een versleutelde disk.

Wat is er minimaal nodig om FileVault te gaan toepassen op grotere schaal.

  • Admin account
  • A recovery partition
  • Optional FileVaulMaster.keychain
  • A delivery method

FileVault moet dus geactiveerd worden, vervolgens moet de user en het admin account toegevoegd worden en dan het liefst in één handeling. Alan heeft hiervoor een oplossing bedacht in de vorm van een package.

  • A pkg that …
  • Adds an LoginHook that …
  • Executes a script that …
  • Puts the machine in to kiosk mode and …
  • Prompts the user to enter their password and …
  • Enables FileVault for the user and …
  • Adds the Local Amdin to FileVault and …
  • Reboots the machine

Aandachtspunten:

  • Het uid van de Adminmoet 501 zijn of daarboven liggen
  • Gebruik AdPassMon als je werkt met Active Directory accounts. Deze gratis utility geeft een notificatie als het wachtwoord van de gebruiker dreigt te verlopen. O.a. deze website geeft meer info over de app.
  • Maak back-ups van de cliënts

Voor meer info verwijst Alan naar de website van Richard Trouton (https://derflounder.wordpress.com)

Mijn conclusie van vandaag is echter een andere dan dat in bovenstaande presentaties direct naar voren kwam. Het is er één die laat zien dat het werken met een image, zoals we die nu kennen, wel eens z’n langste tijd gehad kan hebben. Programma’s als Device Enrollment (DEP) en Volume Purchase (VPP) geven de gebruiker een betere ‘out of the box experience’, maar is ook gemakkelijk in het gebruik. Ik ben benieuwd of deze gedachte in één van de volgende dagen verder bevestigd gaat worden.

Woensdag 30 september

Timo Lemburg (Autostadt GmbH) presenteerde het onderwerp “Challenges in Building a Corporate Mac Client“. Aangezien ze in een redelijk sterk georienteerde Windows wereld moeten opereren zijn zaken als SCCM en flows gebaseerd op Active Directory Group Policies geen keuze. Daarnaast wordt gebruik gemaakt van veel, al eerder genoemde tools, als Casper Suite, Deploy Studio, Packages en scripts.

Een belangrijk leerelement uit deze sessie is dat scheiding tussen software en configuratie belangrijk is en blijft.

Autostadt: http://www.autostadt.de/en/start/

 

Preference Management with Profiles” door Greg Neagle  (Walt Disney Animation Studios).

Greg verteld aan de hand van een simpel voorbeeld (afdwingen van gebruik screensaver en vereisen van een wachtwoord bij terugkomst) dat er nogal wat scripts en hacks gebruikt moest worden.
Voor OS X 10.5 kon er gebruik gemaakt worden van zogenaamde mcx bestanden (managed client os x). Hiermee kon men OS X clients managen. Die data moest worden opgeslagen in de directory services. Voor Active Directory geldt dan dat uitbreiding van het schema (AD database) noodzakelijk is. Iets waar de meeste Windows beheerders niet op zaten te wachten. Een andere optie is het gebruik maken van de zogenaamde Golden Triangle. Een situatie waarbij zowel Active als Open Directory gebruikt wordt.

In versie 10.5 ging het over naar localMCX (preferred managed items in local groups) wat het al iets eenvoudiger maakte. Door de ontwikkeling van de iphone werd op dat platform een zogenaamd “profile” gebruikt. MDM (Mobile Device Management) kon niet lang uitblijven en ondersteunde het centraal managen van deze Corporate iPhones. Dat bleek ook interessant voor OS X.
Configuration profiles zijn XML gebaseerde .plists bestanden die ontzettend makkelijk te installeren zijn. Creatie geschiedt bijvoorbeeld via Profile Manager (OS X Server). Mocht je geen OS X Server gebruiken overweeg dan een VM met OS X Server, alleen voor het creeeren van de Profiles. Het lezen van de .mobileconfig bestanden met een texteditor geeft een onleesbaar geheel, maar met behulp van

plutil

zijn ze eenvoudig te converteren naar een normal leesbaar XML bestand.
Uiteraard zijn bestaande .plist ook te gebruiken (mcxtoprofile) en te converteren naar een  .mobileconfig te converteren en zijn er vele voorbeelden te vinden op GitHub.

Deployment van Profiles gaat eenvoudig per mail, webserver, USB stick, profilemanager (blijkt niet goed te werken voor grote organisaties) of andere MDM oplossingen. En dan zijn er nog Sofware Management Tools (bijv Tim Suttons’ Make Profile PKG), Munki, DeployStudio, SCCM, FileWave, Casper,…

Met de optie “Custom Settings” in ProfileManager zijn zelf prefereces te maken als ze niet standaard aanwezig zijn en dat is een interessante optie en geeft veel meer mogelijkheden tot beheer.

Best Practices:

  • Gebruik profiles als een tool
  • Bewerk de gemaakte profiles, ze bevatten standaard alle settings van die sectie, filter het overbodige eruit
  • Eén profile per preference domain
  • Bij gebruik van de opties “forced, once and often” zal je zeer zorgvuldig moeten testen op opgewenst gedrag

Aan het einde liet Greg nog even de trailer van de nieuwe Disney film “Zootropolis” zien.

Na mijn overweging van gisteren was het wel grappig te horen dat Charles Edge (JAMFSoftware and krypted.com) in zijn presentatie “MDM :: The Future” tot eenzelfde conclusie komt. In zijn verhaal, waarin we meegenomen worden in het ‘ontstaan’ van profiles ten tijde van de iPhone vertelt Charles dat er steeds verdergaande mogelijkheden zijn voor het beheren van iOS en OS X mbt configuratie zoals software uitrol. Hij verwacht dat dit steeds verder uitgebreid gaat worden, ook naar OS X.

“It hurts when I do this” is eigenlijk niet de juiste titel van de presentatie van Kevin White (Macjutsu, Inc.), maar de ondertitel “Don’t do this” wel 😉 Van 10 categorieën worden de do’s en de dont’s in hoog tempo besproken.

  • MDM – Profile Manager is niet de beste oplossing voor een grotere omgeving, bekijk dus ook andere oplossingen. Controleer of je MDM oplossing Activation Lock Recovery keys verzameld. Verifieer dat je MDM wordt gebackupped en test dat ook!
  • Caching Server: Overweeg serieus om deze te gebruiken. Zet de server dicht bij de clients. Er zijn mogelijkheden tot custom config via .plist bestanden. Stop met het syncen van homefolders, maar gebruik caching icloud content.
  • Network: WIFI moet goed zijn. Don’t block Apple en Akamai servers. Netboot; stop met het gebruiken van het  bless commando en configureer in plaats daarvan IP-helper op je subnets
  • DEP: Koop niet bij vendors die geen DEP ondersteunen. Blocking Apple Services is geen goed idee. Laat DEP aanstaan, ook al is de client geconfigureerd. Maak geen gebruik van de ‘disown’ optie in de DEP portal, tenzij je zeker weet dat je dat wil
  • VPP: Profile manager zal VPP standaard resetten als de server token verplaatst wordt. Pre-populate user VPP toewijzingen voordat je deze gebruikers uitnodigd om gebruik te maken van VPP (betere user experience). Device-based assignment komt pas beschikbaar als de developer de nieuwe Terms And Conditions (T&C’s) ondertekend heeft. Hierdoor kan het dus even duren.
  • Apple ID: zorg voor een goed gedocumenteerd recorvery plan voor institutional Apple ID’s. Maak, waar mogelijk, altijd gebruik van two-factor authentication omdat standaard alleen een naam en password nodig is om een Apple ID te resetten. Tenzij je niet anders kan (bijv. basisschool) laat je de user zelf een Apple ID aanmaken. Vooralsnog kun je per Apple device voor maximaal 3 gebruikers hun Apple ID dis-associeren met iCloud. Mocht je meerdere Apple ID’s of iCloud accounts aan willen maken? Neem even contact op met Apple.
  • Filevault: het is lastig om een user-enabled FileVault te migreren naar een managed FileVault. Eén key per instituut is niet slim. Verzamel in plaats daarvan alle individuele recovery keys. Vele MDS’s kunnen dat. Reset deze key als deze bekend is geraakt bij anderen. Zorg dat back-ups ook versleuteld worden (Time Machine heeft daar een optie voor). Controleer of een gebruiker een versleutelde disk kan restoren (user zal wachtwoord nog moeten weten, ook na jaren als het gerbuikers wachtwoord wellicht al meerdere keren gewijzigd is). Het is niet nodig om de Local Admin ook te activeren voor FileVault, zeker niet als het een verborgen account is. FileVault is er niet om settings te blokkeren, daar zijn profiles voor.
  • AD: is binding echt de moeite waard? iOS wordt ook niet gebonden aan een Directory Service en is ook goed bruikbaar zonder. Overweeg andere oplossingen. Een Password reset is ongunstig voor de Keychain en voor FileVault. In het gunstigte geval kan een MDM oplossing als intermediate optreden tussen de devices en AD.
  • Apple: Verlies de doelen van Apple niet uit het oog (via een geweldige user experience meer klanten overhalen meer Apple devices te kopen). Apple heeft ook meerdere heren te dienen, waarvan die ene IT wens er maar één is. Maak gebruik van Beta programma’s. Daar heb je de mogelijkheid om in een vroeg stadium aan te geven wat goed en minder goed werkt.
  • Users: Verlies ook niet de doelen van je gebruikers / klanten uit het oog. Zij willen immers alleen dat het werkt zodat zij hun werk kunnen doen. Als je te hard tegenstribbelt zou dat zomaar je functie kunnen kosten.

Andrina Kelly (JAMFSoftware)  geeft in “The 7 Habits of Highly Effective SysAdmins
” ons tips en trucs hoe we effectief kunnen werken.

  • Be proactive
  • Keep the end in mind
  • Do the first things first
  • Everyone wins “Strong people don’t put others down…. They lift them up”
  • Understand
  • Coöperation

Donderdag 1 oktober

Vandaag openden we met Pepijn Bruienne (University of Michigan) met als onderwerp “Practical Docker for Mac Sysadmins “ 

Donker is een snel groeiend interessant concept waar zelfs grotere partijen als Google, Microsoft, VMWare, Cisco en Red Hat het profijt zien. Docker is een vorm van virtualisatie maar dan op een andere manier als de meesten kennen. Normaal gesproken kent elke Virtual Machine zijn eigen besturingssysteem. Daarbinnen worden dan de applicaties geïnstalleerd.

Docker gaat van het principe uit dat ook het OS met alle binaries en libraries gedeeld kunnen worden. De diverse applicaties worden in lichte  containers verpakt die eenvoudig verplaatsbaar zijn.

Docker vm container

Een zeer interessant concept waar we zeker nog meer van gaan horen.

“Apple technologies at NRK” Morten Davidsen (NRK)

DeNorwegian Broadcasting Corporation is in Noorwegen te vergelijken met BBC in de UK. Enkele gegevens:

  • 3650 werknemers
  • 3 TV kanalen
  • 16 radiozenders
  • website
  • 1 hoofdkantoor (Oslo)
  • 13 regionale kantoren
  • 56 departementen in het land
  • De toekomst focus ligt op nieuws, web en mobile

NRK heeft een grote verandering ondergaan in de loop der jaren. In 2008:

  • werden ca. 500 Mac’s gebruikt
  • Final Cut Studio was de  standaard editing suite
  • gebruikte met XSAN , Final Cut Server, Color, Final Cut Studio Server en de Xserve van Apple

Nu 2015:

  • 1500 macs (50/50 vaste stations / laptops)
  • ca. 4500 iOS devices
  • 1000 editing suites : Final Cut Studio / Premiere Pro
  • Maakt men de overstap van Final Cut naar Adobe Premiere Pro en Adobe Anywhere (Final Cut X is nu tweede keus)
  • wachten ze af wat ze met Xsan gaan doen
  • OS X Servers zijn min of meer verdwenen
  • Mobile is belangrijker geworden
  • Van tape naar file based production

Door de keuzes van Apple om in het verleden een deel van de producten af te stoten (Xserve, Color, Final Cut Server,…) is er inmiddels minder vertrouwen in Apple.

Producten die nu veel gebruikt worden:

  • Filewave lightining
  • Filewave
  • Deploystudio
  • Absolute manage

Door de enorme toename van mobile devices (ca. 5000)  werd het invoeren van MDM meer en meer belangrijk (iOS – 90% / Android 10%) betekent goed nadenken en reorganiseren van wifi, vpn en PKI (Public Key Infrastructure)

Ook in deze presentatie kwam naar voren dat Mac Device Management en Mobile Device Management meer en meer Apple Device Management wordt!

“OS X Packaging” Duncan McCracken (Mondada)

Aan de hand van een aantal tools (waaronder productbuild, pkgutil, productbuild, pkgbuild) wordt telkens een demo gegeven hoe één en ander te realiseren is. Bij een volgende stap wordt de package voorzien van meer functionaliteit, zoals controle of een eerdere versie actief is met de melding dat deze eerst gesloten moet worden.

In het laatste deel van zijn presentatie liet Duncan zien dat ook bestaande packages de moeite waard zijn om te controleren en eventueel te modificeren. Hiervoor gebruikt hij de Office 2016.

Als laatste spreker was het de beurt aan Arek Dreyer (Dreyer Network Consultants“The 2015 State of Troubleshooting Apple Devices” 

Door middel van een aantal use cases schonk Arek aandacht aan de volgende onderwerpen:

  • Stop troubleshooting
  • Provide great service when you do
  • Use appropriate tools
  • Use and build community

Vrijdag 2 oktober

We begonnen de ochtend met een sessie over “Ansible – Configuration Management for #macadmins” gepresenteerd door Henry Stamerjohann (Apfelwerk GmbH & Co.KG)

Ansible is een tool waarmee eenvoudig geautomatiseerd configuratie en serverbeheer mogelijk is (zowel OS X als Linux). Het werkt voornamelijk via SSH waardoor er geen extra software (client agent) nodig is. Je kunt het onder andere gebruiken voor:

  • configuratie management
  • app deployment
  • aanmaken van gebruikers
  • configureren van ssh toegang

Het is een open source project, gebaseerd op Python en kent een sterke community. Doel is om een eenvoudige tool in handen te hebben die een maximum aan gebruiksgemak kent en waarvan de scripts leesbaar zijn.

Meer info:

  • http://docs.ansible.com
  • http://www.ansible.comD

Gevolgd door een presentatie van Edward Marczak (Google)  met als onderwerp “Digging In The Dirt” waarin hij ons meenam op en reverse engineering tour. Deze presentatie zat zo vol gave elementen dat het ondoenlijk is om hier een korte samenvatting te geven. vandaar hier de link naar de totale presentatie.

De laatste sessie ging over “Managing Resources on OS X” door Jonathan Levin (Technologygeeks).

Boek: "Managing Resources on OS X" door Jonathan Levin

In rap tempo ging Jonathan door de 4 belangrijkste subsystemen waarbij hij het niet naliet om hier en daar een steek onder water naar Apple te geven. Jonathan heeft zo veel kennis dat het niet in een uurtje pas, waardoor hij (alweer) in tijdnood kwam 😉

  • Cpu
    Physical: processor or processor core
    Logical: threads (extra register in cpu)
    Terminal: hostinfo
    Monitoring
    * top
    * dtrace
    * procexp
  • RAM / Memory
    * Physical mem: van 2 – 16 GB
    * Virtual mem: allowing up to 128 TB
    Monitoring:
    * procexp
    * vm_stat
    * memory_pressure
    Swapping in OSX wordt zoveel mogelijk vervangen door compressive en toch opslaan in RAM (het register is 1miljoen keer sneller dan disk / memory is 10.000 keer sneller dan disk)Disk – Storage HDD or Flash
  • Monitoring:
    * iostat (geeft getallen niet helemaal correct weer)
    * procexp
    * dtrace
    * fs_usage
    * filemon
  • Network – NFS/SMB, remote hosts, RPC, bandwidth
    Monotoring:
    * nettop
    * lsock